Vladimir Palant, pangripta Adblock Plus, () ing browser web Safepay khusus adhedhasar mesin Chromium, sing ditawakake minangka bagean saka paket antivirus Bitdefender Total Security 2020 lan ngarahake nambah keamanan karya pangguna ing jaringan global (contone, isolasi tambahan diwenehake nalika ngakses bank lan sistem pembayaran). Kerentanan ngidini situs web sing dibukak ing browser kanggo nglakokake kode sewenang-wenang ing tingkat sistem operasi.
Panyebab masalah kasebut yaiku antivirus Bitdefender nindakake intersepsi lokal lalu lintas HTTPS kanthi ngganti sertifikat TLS asli situs kasebut. Sertifikat root tambahan dipasang ing sistem klien, sing ndadekake bisa ndhelikake operasi sistem pengawasan lalu lintas sing digunakake. Antivirus wedges dhewe menyang lalu lintas sing dilindhungi lan nglebokake kode JavaScript dhewe menyang sawetara kaca kanggo ngleksanakake fungsi Panelusuran Aman, lan yen ana masalah karo sertifikat sambungan aman, iku ngganti kaca kesalahan bali karo dhewe. Wiwit kaca kesalahan anyar diwenehake kanggo server sing dibukak, kaca liya ing server kasebut nduweni akses lengkap menyang konten sing dilebokake Bitdefender.
Nalika mbukak situs sing dikontrol dening panyerang, situs kasebut bisa ngirim XMLHttpRequest lan pura-pura masalah karo sertifikat HTTPS nalika nanggapi, sing bakal ngasilake kaca kesalahan sing diapusi dening Bitdefender. Wiwit kaca kesalahan dibukak ing konteks domain penyerang, dheweke bisa maca isi kaca spoofed kanthi paramèter Bitdefender. Kaca sing disedhiyakake dening Bitdefender uga ngemot kunci sesi sing ngidini sampeyan nggunakake API Bitdefender internal kanggo miwiti sesi browser Safepay sing kapisah, nemtokake panji baris printah sing sewenang-wenang, lan kanggo miwiti printah sistem apa wae nggunakake "--utility-cmd-prefix" gendéra. Conto eksploitasi (param1 lan param2 minangka nilai sing dipikolehi saka kaca kesalahan):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Ayo kita kelingan yen sinau sing ditindakake ing 2017 yen 24 saka 26 produk antivirus sing dites sing mriksa lalu lintas HTTPS liwat spoofing sertifikat nyuda tingkat keamanan sakabèhé sambungan HTTPS.
Mung 11 saka 26 produk sing nyedhiyakake suite cipher saiki. Sistem 5 ora verifikasi sertifikat (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produk Kaspersky Internet Security lan Total Security kena serangan , lan produk AVG, Bitdefender lan Bullguard diserang и . Dr.Web Antivirus 11 ngidini sampeyan mbalek maneh menyang cipher ekspor sing ora bisa dipercaya (serangan ).
Source: opennet.ru