Vladimir Palant, Erfinder von Adblock Plus, () im speziellen Safepay-Webbrowser auf Basis der Chromium-Engine, der als Teil des Bitdefender Total Security 2020-Antivirenpakets angeboten wird und darauf abzielt, die Sicherheit der Arbeit des Benutzers im globalen Netzwerk zu erhöhen (z. B. wird eine zusätzliche Isolation beim Zugriff auf Banken bereitgestellt und Zahlungssysteme). Die Sicherheitslücke ermöglicht es im Browser geöffneten Websites, beliebigen Code auf Betriebssystemebene auszuführen.
Die Ursache des Problems liegt darin, dass Bitdefender Antivirus den HTTPS-Verkehr lokal abfängt, indem es das ursprüngliche TLS-Zertifikat der Site ersetzt. Auf dem System des Kunden wird ein zusätzliches Stammzertifikat installiert, das es ermöglicht, den Betrieb des verwendeten Verkehrskontrollsystems zu verbergen. Das Antivirenprogramm schleicht sich in den geschützten Datenverkehr ein und fügt in einige Seiten seinen eigenen JavaScript-Code ein, um die Funktion „Sichere Suche“ zu implementieren. Bei Problemen mit dem sicheren Verbindungszertifikat ersetzt es die zurückgegebene Fehlerseite durch eine eigene. Da die neue Fehlerseite im Namen des Servers bereitgestellt wird, der geöffnet wird, haben andere Seiten auf diesem Server vollen Zugriff auf den von Bitdefender eingefügten Inhalt.
Beim Öffnen einer von einem Angreifer kontrollierten Website kann diese Website eine XMLHttpRequest senden und bei der Antwort Probleme mit dem HTTPS-Zertifikat vortäuschen, was zur Rückkehr einer von Bitdefender gefälschten Fehlerseite führt. Da die Fehlerseite im Kontext der Domain des Angreifers geöffnet wird, kann dieser mit Bitdefender-Parametern den Inhalt der gefälschten Seite lesen. Die von Bitdefender bereitgestellte Seite enthält außerdem einen Sitzungsschlüssel, der es Ihnen ermöglicht, mit der internen Bitdefender-API eine separate Safepay-Browsersitzung zu starten, beliebige Befehlszeilen-Flags anzugeben und beliebige Systembefehle mit dem „--utility-cmd-prefix“ zu starten. Flagge. Ein Beispiel für einen Exploit (param1 und param2 sind Werte, die von der Fehlerseite erhalten wurden):
var Anfrage = neue XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Erinnern wir uns an eine Studie aus dem Jahr 2017 dass 24 von 26 getesteten Antivirenprodukten, die den HTTPS-Verkehr durch Zertifikatspoofing überprüfen, das Gesamtsicherheitsniveau einer HTTPS-Verbindung verringerten.
Nur 11 der 26 Produkte stellten aktuelle Verschlüsselungssammlungen zur Verfügung. 5 Systeme haben Zertifikate nicht überprüft (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Die Produkte Kaspersky Internet Security und Total Security wurden angegriffen , und AVG-, Bitdefender- und Bullguard-Produkte werden angegriffen и . Mit Dr.Web Antivirus 11 können Sie auf unzuverlässige Exportchiffren (Angriff) zurückgreifen ).
Source: opennet.ru