Vladimir Palant, δημιουργός του Adblock Plus, () στο εξειδικευμένο πρόγραμμα περιήγησης ιστού Safepay που βασίζεται στη μηχανή Chromium, που προσφέρεται ως μέρος του πακέτου προστασίας από ιούς Bitdefender Total Security 2020 και στοχεύει στην αύξηση της ασφάλειας της εργασίας του χρήστη στο παγκόσμιο δίκτυο (για παράδειγμα, παρέχεται πρόσθετη απομόνωση κατά την πρόσβαση σε τράπεζες και συστήματα πληρωμών). Η ευπάθεια επιτρέπει στους ιστότοπους που ανοίγουν στο πρόγραμμα περιήγησης να εκτελούν αυθαίρετο κώδικα σε επίπεδο λειτουργικού συστήματος.
Η αιτία του προβλήματος είναι ότι το antivirus Bitdefender εκτελεί τοπική παρακολούθηση της κυκλοφορίας HTTPS αντικαθιστώντας το αρχικό πιστοποιητικό TLS του ιστότοπου. Ένα πρόσθετο πιστοποιητικό ρίζας εγκαθίσταται στο σύστημα του πελάτη, το οποίο καθιστά δυνατή την απόκρυψη της λειτουργίας του συστήματος επιθεώρησης κυκλοφορίας που χρησιμοποιείται. Το πρόγραμμα προστασίας από ιούς ενσωματώνεται στην προστατευμένη κυκλοφορία και εισάγει τον δικό του κώδικα JavaScript σε ορισμένες σελίδες για να εφαρμόσει τη λειτουργία Ασφαλούς Αναζήτησης και σε περίπτωση προβλημάτων με το πιστοποιητικό ασφαλούς σύνδεσης, αντικαθιστά τη σελίδα σφάλματος που επιστράφηκε με τη δική του. Εφόσον η νέα σελίδα σφάλματος εξυπηρετείται για λογαριασμό του διακομιστή που ανοίγει, άλλες σελίδες σε αυτόν τον διακομιστή έχουν πλήρη πρόσβαση στο περιεχόμενο που έχει εισαχθεί από το Bitdefender.
Όταν ανοίγετε έναν ιστότοπο που ελέγχεται από έναν εισβολέα, αυτός ο ιστότοπος μπορεί να στείλει ένα XMLHttpRequest και να προσποιηθεί προβλήματα με το πιστοποιητικό HTTPS κατά την απόκριση, γεγονός που θα οδηγήσει στην επιστροφή μιας σελίδας σφάλματος που πλαστογραφήθηκε από το Bitdefender. Εφόσον η σελίδα σφάλματος ανοίγει στο πλαίσιο του τομέα του εισβολέα, μπορεί να διαβάσει τα περιεχόμενα της πλαστογραφημένης σελίδας με παραμέτρους Bitdefender. Η σελίδα που παρέχεται από το Bitdefender περιέχει επίσης ένα κλειδί συνεδρίας που σας επιτρέπει να χρησιμοποιήσετε το εσωτερικό Bitdefender API για να ξεκινήσετε μια ξεχωριστή περίοδο λειτουργίας προγράμματος περιήγησης Safepay, καθορίζοντας αυθαίρετες σημαίες γραμμής εντολών και να εκκινήσετε τυχόν εντολές συστήματος χρησιμοποιώντας το «--utility-cmd-prefix». σημαία. Ένα παράδειγμα ενός exploit (το param1 και το param2 είναι τιμές που λαμβάνονται από τη σελίδα σφάλματος):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Να θυμίσουμε ότι μελέτη που έγινε το 2017 ότι 24 από τα 26 δοκιμασμένα προϊόντα προστασίας από ιούς που επιθεωρούν την κυκλοφορία HTTPS μέσω πλαστογράφησης πιστοποιητικών μείωσαν το συνολικό επίπεδο ασφάλειας μιας σύνδεσης HTTPS.
Μόνο 11 από τα 26 προϊόντα παρείχαν τρέχουσες σουίτες κρυπτογράφησης. 5 συστήματα δεν επαλήθευσαν πιστοποιητικά (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Τα προϊόντα Kaspersky Internet Security και Total Security δέχθηκαν επίθεση , και τα προϊόντα AVG, Bitdefender και Bullguard δέχονται επίθεση и . Το Dr.Web Antivirus 11 σάς επιτρέπει να επιστρέψετε σε αναξιόπιστους κωδικούς εξαγωγής (επίθεση ).
Πηγή: opennet.ru