Vladimír Palant, tvůrce Adblock Plus,
Příčinou problému je, že antivirus Bitdefender provádí lokální odposlech HTTPS provozu tím, že nahradí původní TLS certifikát webu. Do systému klienta je nainstalován další kořenový certifikát, který umožňuje skrýt provoz používaného systému dopravní kontroly. Antivir se vklíní do chráněného provozu a do některých stránek vloží vlastní JavaScript kód pro implementaci funkce Safe Search a v případě problémů s certifikátem zabezpečeného připojení nahradí vrácenou chybovou stránku svou. Vzhledem k tomu, že nová chybová stránka je obsluhována jménem otevíraného serveru, ostatní stránky na tomto serveru mají plný přístup k obsahu vloženému Bitdefenderem.
Při otevírání webu kontrolovaného útočníkem může tento web odeslat požadavek XMLHttpRequest a předstírat problémy s certifikátem HTTPS, když odpovídá, což povede k návratu chybové stránky podvržené Bitdefenderem. Protože je chybová stránka otevřena v kontextu domény útočníka, může číst obsah podvržené stránky s parametry Bitdefenderu. Stránka poskytovaná Bitdefenderem také obsahuje klíč relace, který vám umožňuje používat interní API Bitdefender ke spuštění samostatné relace prohlížeče Safepay, specifikovat libovolné příznaky příkazového řádku a spouštět jakékoli systémové příkazy pomocí „--utility-cmd-prefix“ vlajka. Příklad exploitu (param1 a param2 jsou hodnoty získané z chybové stránky):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Typ-obsahu", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Připomeňme, že studie provedená v roce 2017
Pouze 11 z 26 produktů poskytovalo aktuální šifrovací sady. 5 systémů neověřilo certifikáty (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produkty Kaspersky Internet Security a Total Security byly předmětem útoku
Zdroj: opennet.ru