Vladimir Palant, pencipta Adblock Plus, () di browser web Safepay khusus berdasarkan mesin Chromium, ditawarkan sebagai bagian dari paket antivirus Bitdefender Total Security 2020 dan ditujukan untuk meningkatkan keamanan pekerjaan pengguna di jaringan global (misalnya, isolasi tambahan disediakan saat mengakses bank dan sistem pembayaran). Kerentanan ini memungkinkan situs web yang dibuka di browser untuk mengeksekusi kode arbitrer di tingkat sistem operasi.
Penyebab masalahnya adalah antivirus Bitdefender melakukan intersepsi lokal terhadap lalu lintas HTTPS dengan mengganti sertifikat TLS asli situs tersebut. Sertifikat root tambahan diinstal pada sistem klien, yang memungkinkan untuk menyembunyikan pengoperasian sistem inspeksi lalu lintas yang digunakan. Antivirus ini memasukkan dirinya ke dalam lalu lintas yang dilindungi dan memasukkan kode JavaScript-nya sendiri ke beberapa halaman untuk mengimplementasikan fungsi Pencarian Aman, dan jika ada masalah dengan sertifikat koneksi aman, ia akan mengganti halaman kesalahan yang dikembalikan dengan miliknya sendiri. Karena halaman kesalahan baru disajikan atas nama server yang dibuka, halaman lain di server tersebut memiliki akses penuh ke konten yang dimasukkan oleh Bitdefender.
Saat membuka situs yang dikendalikan oleh penyerang, situs tersebut dapat mengirimkan XMLHttpRequest dan berpura-pura mengalami masalah dengan sertifikat HTTPS saat merespons, yang akan menyebabkan kembalinya halaman kesalahan yang dipalsukan oleh Bitdefender. Karena halaman kesalahan dibuka dalam konteks domain penyerang, ia dapat membaca konten halaman palsu dengan parameter Bitdefender. Halaman yang disediakan oleh Bitdefender juga berisi kunci sesi yang memungkinkan Anda menggunakan API Bitdefender internal untuk meluncurkan sesi browser Safepay terpisah, menentukan tanda baris perintah arbitrer, dan untuk meluncurkan perintah sistem apa pun menggunakan β--utility-cmd-prefixβ bendera. Contoh eksploitasi (param1 dan param2 adalah nilai yang diperoleh dari halaman kesalahan):
var permintaan = XMLHttpRequest baru();
permintaan.open("POST", Math.random());
request.setRequestHeader("Jenis konten", "aplikasi/x-www-form-urlencoded");
request.setRequestHeader(Β«BDNDSS_B67EA559F21B487F861FDA8A44F01C50Β», param1);
request.setRequestHeader(Β«BDNDCA_BBACF84D61A04F9AA66019A14B035478Β», param2);
request.setRequestHeader(Β«BDNDWB_5056E556833D49C1AF4085CB254FC242Β», Β«obk.runΒ»);
request.setRequestHeader(Β«BDNDOK_4E961A95B7B44CBCA1907D3D3643370DΒ», location.href);
request.send("data:teks/html,nada βutility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Mari kita ingat kembali penelitian yang dilakukan pada tahun 2017 bahwa 24 dari 26 produk antivirus yang diuji memeriksa lalu lintas HTTPS melalui spoofing sertifikat mengurangi tingkat keamanan keseluruhan koneksi HTTPS.
Hanya 11 dari 26 produk yang menyediakan cipher suite saat ini. 5 sistem tidak memverifikasi sertifikat (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produk Kaspersky Internet Security dan Total Security menjadi sasaran serangan , dan produk AVG, Bitdefender, dan Bullguard diserang ΠΈ . Dr.Web Antivirus 11 memungkinkan Anda memutar kembali ke sandi ekspor yang tidak dapat diandalkan (serangan ).
Sumber: opennet.ru