Vladimirs Palants, Adblock Plus radītājs, () specializētajā Safepay tīmekļa pārlūkprogrammā, kuras pamatā ir Chromium dzinējs un kas tiek piedāvāts kā daļa no Bitdefender Total Security 2020 antivīrusu pakotnes un kura mērķis ir paaugstināt lietotāja darba drošību globālajā tīklā (piemēram, tiek nodrošināta papildu izolācija, piekļūstot bankām un maksājumu sistēmas). Ievainojamība ļauj pārlūkprogrammā atvērtajām vietnēm izpildīt patvaļīgu kodu operētājsistēmas līmenī.
Problēmas cēlonis ir tas, ka Bitdefender antivīruss veic vietējo HTTPS trafika pārtveršanu, aizstājot vietnes sākotnējo TLS sertifikātu. Klienta sistēmā ir uzstādīts papildu saknes sertifikāts, kas ļauj slēpt izmantotās satiksmes pārbaudes sistēmas darbību. Antivīruss ieslēdzas aizsargātā trafikā un dažās lapās ievieto savu JavaScript kodu, lai ieviestu funkciju Droša meklēšana, un, ja rodas problēmas ar drošā savienojuma sertifikātu, tas aizstāj atgriezto kļūdu lapu ar savu. Tā kā jaunā kļūdas lapa tiek pasniegta atvērtā servera vārdā, citām šī servera lapām ir pilna piekļuve Bitdefender ievietotajam saturam.
Atverot vietni, kuru kontrolē uzbrucējs, šī vietne var nosūtīt XMLHttpRequest un, atbildot, iztēloties problēmas ar HTTPS sertifikātu, kā rezultātā tiks atgriezta Bitdefender viltota kļūdas lapa. Tā kā kļūdas lapa tiek atvērta uzbrucēja domēna kontekstā, viņš var lasīt viltotās lapas saturu ar Bitdefender parametriem. Bitdefender nodrošinātajā lapā ir arī sesijas atslēga, kas ļauj izmantot iekšējo Bitdefender API, lai palaistu atsevišķu Safepay pārlūkprogrammas sesiju, norādot patvaļīgus komandrindas karogus un palaistu visas sistēmas komandas, izmantojot “--utility-cmd-prefix”. karogs. Ekspluatācijas piemērs (param1 un param2 ir vērtības, kas iegūtas kļūdas lapā):
var pieprasījums = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Satura veids", "Application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:teksts/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Atgādināsim, ka 2017. gadā veikts pētījums ka 24 no 26 pārbaudītajiem pretvīrusu produktiem, kas pārbauda HTTPS trafiku, izmantojot sertifikātu viltošanu, samazināja HTTPS savienojuma vispārējo drošības līmeni.
Tikai 11 no 26 produktiem nodrošināja pašreizējos šifrēšanas komplektus. 5 sistēmas nepārbaudīja sertifikātus (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security un Total Security produkti tika pakļauti uzbrukumam , un tiek uzbrukts AVG, Bitdefender un Bullguard produktiem и . Dr.Web Antivirus 11 ļauj atgriezties pie neuzticamiem eksporta šifriem (uzbrukums ).
Avots: opennet.ru