Vladimir Palant, creador de Adblock Plus, () en el navegador web especializado Safepay basado en el motor Chromium, que se ofrece como parte del paquete antivirus Bitdefender Total Security 2020 y tiene como objetivo aumentar la seguridad del trabajo del usuario en la red global (por ejemplo, se proporciona aislamiento adicional al acceder a bancos y sistemas de pago). La vulnerabilidad permite que los sitios web abiertos en el navegador ejecuten código arbitrario a nivel del sistema operativo.
La causa del problema es que el antivirus Bitdefender realiza una interceptación local del tráfico HTTPS reemplazando el certificado TLS original del sitio. Se instala un certificado raíz adicional en el sistema del cliente, lo que permite ocultar el funcionamiento del sistema de inspección de tráfico utilizado. El antivirus se introduce en el tráfico protegido e inserta su propio código JavaScript en algunas páginas para implementar la función de búsqueda segura y, en caso de problemas con el certificado de conexión segura, reemplaza la página de error devuelta por la suya. Dado que la nueva página de error se muestra en nombre del servidor que se abre, otras páginas de ese servidor tienen acceso completo al contenido insertado por Bitdefender.
Al abrir un sitio controlado por un atacante, ese sitio puede enviar una XMLHttpRequest y fingir problemas con el certificado HTTPS al responder, lo que provocará la devolución de una página de error falsificada por Bitdefender. Dado que la página de error se abre en el contexto del dominio del atacante, éste puede leer el contenido de la página falsificada con los parámetros de Bitdefender. La página proporcionada por Bitdefender también contiene una clave de sesión que le permite utilizar la API interna de Bitdefender para iniciar una sesión separada del navegador Safepay, especificando indicadores de línea de comando arbitrarios y ejecutar cualquier comando del sistema usando el “--utility-cmd-prefix”. bandera. Un ejemplo de exploit (param1 y param2 son valores obtenidos de la página de error):
var solicitud = nuevo XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Tipo de contenido", "aplicación/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Recordemos que un estudio realizado en 2017 que 24 de 26 productos antivirus probados que inspeccionan el tráfico HTTPS mediante la suplantación de certificados redujeron el nivel de seguridad general de una conexión HTTPS.
Sólo 11 de los 26 productos proporcionaban conjuntos de cifrado actuales. 5 sistemas no verificaron los certificados (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Los productos Kaspersky Internet Security y Total Security fueron objeto de ataques , y los productos AVG, Bitdefender y Bullguard son atacados и . Dr.Web Antivirus 11 le permite retroceder a cifrados de exportación no confiables (ataque ).
Fuente: opennet.ru