Vladimir Palant, δημιουργός του Adblock Plus,
Η αιτία του προβλήματος είναι ότι το antivirus Bitdefender εκτελεί τοπική παρακολούθηση της κυκλοφορίας HTTPS αντικαθιστώντας το αρχικό πιστοποιητικό TLS του ιστότοπου. Ένα πρόσθετο πιστοποιητικό ρίζας εγκαθίσταται στο σύστημα του πελάτη, το οποίο καθιστά δυνατή την απόκρυψη της λειτουργίας του συστήματος επιθεώρησης κυκλοφορίας που χρησιμοποιείται. Το πρόγραμμα προστασίας από ιούς ενσωματώνεται στην προστατευμένη κυκλοφορία και εισάγει τον δικό του κώδικα JavaScript σε ορισμένες σελίδες για να εφαρμόσει τη λειτουργία Ασφαλούς Αναζήτησης και σε περίπτωση προβλημάτων με το πιστοποιητικό ασφαλούς σύνδεσης, αντικαθιστά τη σελίδα σφάλματος που επιστράφηκε με τη δική του. Εφόσον η νέα σελίδα σφάλματος εξυπηρετείται για λογαριασμό του διακομιστή που ανοίγει, άλλες σελίδες σε αυτόν τον διακομιστή έχουν πλήρη πρόσβαση στο περιεχόμενο που έχει εισαχθεί από το Bitdefender.
Όταν ανοίγετε έναν ιστότοπο που ελέγχεται από έναν εισβολέα, αυτός ο ιστότοπος μπορεί να στείλει ένα XMLHttpRequest και να προσποιηθεί προβλήματα με το πιστοποιητικό HTTPS κατά την απόκριση, γεγονός που θα οδηγήσει στην επιστροφή μιας σελίδας σφάλματος που πλαστογραφήθηκε από το Bitdefender. Εφόσον η σελίδα σφάλματος ανοίγει στο πλαίσιο του τομέα του εισβολέα, μπορεί να διαβάσει τα περιεχόμενα της πλαστογραφημένης σελίδας με παραμέτρους Bitdefender. Η σελίδα που παρέχεται από το Bitdefender περιέχει επίσης ένα κλειδί συνεδρίας που σας επιτρέπει να χρησιμοποιήσετε το εσωτερικό Bitdefender API για να ξεκινήσετε μια ξεχωριστή περίοδο λειτουργίας προγράμματος περιήγησης Safepay, καθορίζοντας αυθαίρετες σημαίες γραμμής εντολών και να εκκινήσετε τυχόν εντολές συστήματος χρησιμοποιώντας το «--utility-cmd-prefix». σημαία. Ένα παράδειγμα ενός exploit (το param1 και το param2 είναι τιμές που λαμβάνονται από τη σελίδα σφάλματος):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Να θυμίσουμε ότι μελέτη που έγινε το 2017
Μόνο 11 από τα 26 προϊόντα παρείχαν τρέχουσες σουίτες κρυπτογράφησης. 5 συστήματα δεν επαλήθευσαν πιστοποιητικά (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Τα προϊόντα Kaspersky Internet Security και Total Security δέχθηκαν επίθεση
Πηγή: opennet.ru