Vladimirs Palants, Adblock Plus radītājs,
Problēmas cēlonis ir tas, ka Bitdefender antivīruss veic vietējo HTTPS trafika pārtveršanu, aizstājot vietnes sākotnējo TLS sertifikātu. Klienta sistēmā ir uzstādīts papildu saknes sertifikāts, kas ļauj slēpt izmantotās satiksmes pārbaudes sistēmas darbību. Antivīruss ieslēdzas aizsargātā trafikā un dažās lapās ievieto savu JavaScript kodu, lai ieviestu funkciju Droša meklēšana, un, ja rodas problēmas ar drošā savienojuma sertifikātu, tas aizstāj atgriezto kļūdu lapu ar savu. Tā kā jaunā kļūdas lapa tiek pasniegta atvērtā servera vārdā, citām šī servera lapām ir pilna piekļuve Bitdefender ievietotajam saturam.
Atverot vietni, kuru kontrolē uzbrucējs, šī vietne var nosūtīt XMLHttpRequest un, atbildot, iztēloties problēmas ar HTTPS sertifikātu, kā rezultātā tiks atgriezta Bitdefender viltota kļūdas lapa. Tā kā kļūdas lapa tiek atvērta uzbrucēja domēna kontekstā, viņš var lasīt viltotās lapas saturu ar Bitdefender parametriem. Bitdefender nodrošinātajā lapā ir arī sesijas atslēga, kas ļauj izmantot iekšējo Bitdefender API, lai palaistu atsevišķu Safepay pārlūkprogrammas sesiju, norādot patvaļīgus komandrindas karogus un palaistu visas sistēmas komandas, izmantojot “--utility-cmd-prefix”. karogs. Ekspluatācijas piemērs (param1 un param2 ir vērtības, kas iegūtas kļūdas lapā):
var pieprasījums = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Satura veids", "Application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:teksts/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Atgādināsim, ka 2017. gadā veikts pētījums
Tikai 11 no 26 produktiem nodrošināja pašreizējos šifrēšanas komplektus. 5 sistēmas nepārbaudīja sertifikātus (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security un Total Security produkti tika pakļauti uzbrukumam
Avots: opennet.ru