Vladimir Palant, créateur d'Adblock Plus, () dans le navigateur Web spécialisé Safepay basé sur le moteur Chromium, proposé dans le cadre du package antivirus Bitdefender Total Security 2020 et visant à augmenter la sécurité du travail de l'utilisateur sur le réseau mondial (par exemple, une isolation supplémentaire est fournie lors de l'accès aux banques et systèmes de paiement). La vulnérabilité permet aux sites Web ouverts dans le navigateur d'exécuter du code arbitraire au niveau du système d'exploitation.
La cause du problème est que l'antivirus Bitdefender effectue une interception locale du trafic HTTPS en remplaçant le certificat TLS d'origine du site. Un certificat racine supplémentaire est installé sur le système du client, ce qui permet de masquer le fonctionnement du système d'inspection du trafic utilisé. L'antivirus s'insère dans le trafic protégé et insère son propre code JavaScript dans certaines pages pour implémenter la fonction Safe Search, et en cas de problèmes avec le certificat de connexion sécurisée, il remplace la page d'erreur renvoyée par la sienne. Étant donné que la nouvelle page d'erreur est servie au nom du serveur ouvert, les autres pages de ce serveur ont un accès complet au contenu inséré par Bitdefender.
Lors de l'ouverture d'un site contrôlé par un attaquant, ce site peut envoyer une XMLHttpRequest et feindre des problèmes avec le certificat HTTPS en répondant, ce qui entraînera le retour d'une page d'erreur usurpée par Bitdefender. Puisque la page d'erreur est ouverte dans le contexte du domaine de l'attaquant, celui-ci peut lire le contenu de la page usurpée avec les paramètres Bitdefender. La page fournie par Bitdefender contient également une clé de session qui vous permet d'utiliser l'API interne de Bitdefender pour lancer une session de navigateur Safepay distincte, en spécifiant des indicateurs de ligne de commande arbitraires, et de lancer toutes les commandes système à l'aide du « --utility-cmd-prefix ». drapeau. Un exemple d'exploit (param1 et param2 sont des valeurs obtenues à partir de la page d'erreur) :
var requête = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Rappelons qu'une étude menée en 2017 que 24 des 26 produits antivirus testés qui inspectent le trafic HTTPS via l'usurpation de certificat ont réduit le niveau de sécurité global d'une connexion HTTPS.
Seuls 11 des 26 produits fournissaient les suites de chiffrement actuelles. 5 systèmes n'ont pas vérifié les certificats (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Les produits Kaspersky Internet Security et Total Security ont fait l'objet d'attaques , et les produits AVG, Bitdefender et Bullguard sont attaqués и . Dr.Web Antivirus 11 vous permet de revenir à des chiffrements d'exportation peu fiables (attaque ).
Source: opennet.ru