Уязвимост при изпълнение на код в защитен браузър Bitdefender SafePay

Владимир Палант, създател на Adblock Plus, идентифицирани уязвимост (CVE-2020 8102-) в специализирания уеб браузър Safepay, базиран на двигателя Chromium, предлаган като част от антивирусния пакет Bitdefender Total Security 2020 и насочен към повишаване на сигурността на работата на потребителя в глобалната мрежа (например, осигурява се допълнителна изолация при достъп до банки и платежни системи). Уязвимостта позволява на уебсайтовете, отворени в браузъра, да изпълняват произволен код на ниво операционна система.

Причината за проблема е, че антивирусната програма Bitdefender извършва локално прихващане на HTTPS трафик, като заменя оригиналния TLS сертификат на сайта. В системата на клиента е инсталиран допълнителен основен сертификат, който позволява да се скрие работата на използваната система за проверка на трафика. Антивирусът се вклинява в защитен трафик и вмъква свой собствен JavaScript код в някои страници, за да реализира функцията за безопасно търсене, а в случай на проблеми със сертификата за защитена връзка, заменя върнатата страница за грешка със своя собствена. Тъй като новата страница за грешка се обслужва от името на отворения сървър, други страници на този сървър имат пълен достъп до съдържанието, вмъкнато от Bitdefender.

При отваряне на сайт, контролиран от атакуващ, този сайт може да изпрати XMLHttpRequest и да симулира проблеми с HTTPS сертификата, когато отговаря, което ще доведе до връщане на страница за грешка, подправена от Bitdefender. Тъй като страницата за грешка се отваря в контекста на домейна на атакуващия, той може да прочете съдържанието на фалшивата страница с параметри на Bitdefender. Страницата, предоставена от Bitdefender, също съдържа сесиен ключ, който ви позволява да използвате вътрешния API на Bitdefender, за да стартирате отделна сесия на браузъра Safepay, като посочите произволни флагове на командния ред и да стартирате всякакви системни команди, използвайки „--utility-cmd-prefix“ знаме. Пример за експлойт (param1 и param2 са стойности, получени от страницата за грешка):

var заявка = нов XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nida —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");

Да припомним, че проучване, проведено през 2017г разкриче 24 от 26 тествани антивирусни продукта, които проверяват HTTPS трафика чрез подправяне на сертификати, намаляват общото ниво на сигурност на HTTPS връзка.
Само 11 от 26-те продукта предоставиха текущи пакети за шифроване. 5 системи не са проверили сертификати (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Продуктите на Kaspersky Internet Security и Total Security бяха обект на атака ПРЕСТЪПНОСТ, а продуктите AVG, Bitdefender и Bullguard са атакувани буксуване и пудел. Dr.Web Antivirus 11 ви позволява да се върнете към ненадеждни експортни шифри (атака FREAK).

Източник: opennet.ru