Vladimir Palant, Adblock Plusi looja, () spetsiaalses Chromiumi mootoril põhinevas Safepay veebibrauseris, mida pakutakse viirusetõrjepaketi Bitdefender Total Security 2020 osana ja mille eesmärk on suurendada kasutaja töö turvalisust globaalses võrgus (näiteks pakutakse täiendavat isolatsiooni pankadele juurdepääsul ja maksesüsteemid). See haavatavus võimaldab brauseris avatud veebisaitidel käivitada operatsioonisüsteemi tasemel suvalist koodi.
Probleemi põhjuseks on see, et Bitdefenderi viirusetõrje teostab HTTPS-liikluse kohaliku pealtkuulamise, asendades saidi algse TLS-sertifikaadi. Kliendi süsteemi paigaldatakse täiendav juursertifikaat, mis võimaldab varjata kasutatava liiklusjärelevalvesüsteemi tööd. Viirusetõrje kiilub end kaitstud liiklusesse ja lisab Safe Search funktsiooni rakendamiseks mõnele lehele oma JavaScripti koodi ning turvalise ühenduse sertifikaadiga seotud probleemide korral asendab tagastatud vealehe enda omaga. Kuna uut vealehte serveeritakse avatava serveri nimel, on selle serveri teistel lehtedel täielik juurdepääs Bitdefenderi sisestatud sisule.
Ründaja kontrollitud saidi avamisel võib see sait saata XMLHttpRequesti ja vastamisel teeselda HTTPS-i sertifikaadiga seotud probleeme, mis toob kaasa Bitdefenderi poolt võltsitud vealehe. Kuna vealeht avatakse ründaja domeeni kontekstis, saab ta lugeda võltsitud lehe sisu Bitdefenderi parameetritega. Bitdefenderi pakutav leht sisaldab ka seansivõtit, mis võimaldab kasutada sisemist Bitdefender API-t, et käivitada eraldi Safepay brauseri seanss, määrates suvalised käsurea lipud, ja käivitada mis tahes süsteemikäsud, kasutades "--utility-cmd-prefix" lipp. Kasutamise näide (param1 ja param2 on vealehelt saadud väärtused):
var päring = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Sisutüüp", "Application/x-www-vorm-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Meenutagem, et 2017. aastal läbi viidud uuring et 24 testitud viirusetõrjetootest 26-st, mis kontrollivad HTTPS-i liiklust sertifikaadi võltsimise kaudu, vähendasid HTTPS-ühenduse üldist turbetaset.
Ainult 11 tootest 26-st pakkusid praeguseid šifrikomplekte. 5 süsteemi ei kontrollinud sertifikaate (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security ja Total Security tooted olid rünnaku all , ning rünnatakse AVG, Bitdefenderi ja Bullguardi tooteid и . Dr.Web Antivirus 11 võimaldab teil tagasi pöörduda ebausaldusväärsete ekspordišifrite juurde (rünnak ).
Allikas: opennet.ru