Vladimir Palant, kreinto de Adblock Plus, () en la speciala Safepay-retumilo bazita sur la Chromium-motoro, ofertita kiel parto de la antivirusa pako Bitdefender Total Security 2020 kaj celita pliigi la sekurecon de la laboro de la uzanto en la tutmonda reto (ekzemple, plia izolado estas provizita kiam vi aliras bankojn kaj pagsistemoj). La vundebleco permesas retejojn malfermitajn en la retumilo ekzekuti arbitran kodon ĉe la mastruma sistemo.
La kaŭzo de la problemo estas, ke Bitdefender-antiviruso faras lokan interkapton de HTTPS-trafiko anstataŭigante la originalan TLS-atestilon de la retejo. Plia radika atestilo estas instalita sur la sistemo de la kliento, kio ebligas kaŝi la funkciadon de la trafika inspektada sistemo uzata. La antiviruso kojnas sin en protektitan trafikon kaj enmetas sian propran JavaScript-kodon en iujn paĝojn por efektivigi la funkcion Safe Search, kaj en kazo de problemoj kun la sekura koneksa atestilo, ĝi anstataŭigas la revenitan erarpaĝon per sia propra. Ĉar la nova erarpaĝo estas servata nome de la servilo malfermita, aliaj paĝoj en tiu servilo havas plenan aliron al la enhavo enmetita de Bitdefender.
Kiam oni malfermas retejon kontrolitan de atakanto, tiu retejo povas sendi XMLHttpRequest kaj ŝajnigi problemojn kun la HTTPS-atestilo respondante, kio kondukos al la reveno de erarpaĝo falsigita de Bitdefender. Ĉar la erarpaĝo estas malfermita en la kunteksto de la domajno de la atakanto, li povas legi la enhavon de la parodiita paĝo kun Bitdefender-parametroj. La paĝo provizita de Bitdefender ankaŭ enhavas sean ŝlosilon, kiu ebligas al vi uzi la internan Bitdefender API por lanĉi apartan retumilon de Safepay, specifante arbitrajn komandliniajn flagojn, kaj lanĉi iujn ajn sistemajn komandojn uzante la "--utility-cmd-prefix" flago. Ekzemplo de ekspluato (param1 kaj param2 estas valoroj akiritaj de la erarpaĝo):
var peto = nova XMLHttpPeto ();
request.open("POST", Math.random());
request.setRequestHeader ("Enhavo-tipo", "aplikaĵo/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Ni memoru, ke studo farita en 2017 ke 24 el 26 elprovitaj antivirusaj produktoj, kiuj inspektas HTTPS-trafikon per atestilparolado, reduktis la totalan sekurecnivelon de HTTPS-konekto.
Nur 11 el la 26 produktoj disponigis nunajn ĉifrosuitojn. 5 sistemoj ne kontrolis atestilojn (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security kaj Total Security-produktoj estis atakeblaj , kaj AVG, Bitdefender kaj Bullguard produktoj estas atakitaj и . Dr.Web Antivirus 11 permesas al vi reveni al nefidindaj eksportaj ĉifroj (atako ).
fonto: opennet.ru