Vladimir Palant, maker van Adblock Plus, () in de op Chromium gebaseerde gespecialiseerde Safepay-webbrowser die wordt aangeboden als onderdeel van het Bitdefender Total Security 2020-antiviruspakket en gericht is op het verbeteren van de veiligheid van de gebruiker in het wereldwijde netwerk (er wordt bijvoorbeeld extra isolatie geboden bij toegang tot banken en betalingssystemen). Door de kwetsbaarheid kunnen websites die in de browser worden geopend willekeurige code uitvoeren op het niveau van het besturingssysteem.
De reden voor het probleem is dat Bitdefender-antivirus lokaal HTTPS-verkeer onderschept door het originele TLS-certificaat van de site te vervangen. Op het clientsysteem wordt een extra rootcertificaat geïnstalleerd, waarmee u de werking van het gebruikte verkeersinspectiesysteem kunt verbergen. Het antivirusprogramma wringt zich in het beveiligde verkeer en vervangt op sommige pagina's zijn eigen JavaScript-code om de Safe Search-functie te implementeren, en in geval van problemen met het beveiligde verbindingscertificaat vervangt het de foutpagina door zijn eigen code. Aangezien de nieuwe foutpagina wordt uitgegeven namens de server die wordt geopend, hebben andere pagina's op die server volledige toegang tot de inhoud die door Bitdefender is ingevoegd.
Wanneer een door een aanvaller gecontroleerde site wordt geopend, kan die site een XMLHttpRequest verzenden en als reactie een HTTPS-certificaatprobleem veinzen, wat een door Bitdefender vervalste foutpagina zal retourneren. Aangezien de foutpagina wordt geopend in de context van het domein van de aanvaller, kan de aanvaller de inhoud van de vervalste Bitdefender-instellingenpagina lezen. De door Bitdefender vervangen pagina bevat ook een sessiesleutel waarmee de interne Bitdefender-API kan worden gebruikt om een afzonderlijke Safepay-browsersessie te starten, willekeurige commandoregelvlaggen te specificeren, en de lancering van alle systeemcommando's te bereiken met behulp van de "-utility-cmd-prefix"-vlag . Exploitvoorbeeld (param1 en param2 zijn de waarden verkregen van de foutpagina):
var request = nieuwe XMLHttpRequest();
verzoek.open("POST", Math.willekeurig());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada --utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Houd er rekening mee dat een studie uit 2017 dat 24 van de 26 geteste antivirusproducten die HTTPS-verkeer inspecteren door middel van spoofing van certificaten, het algehele beveiligingsniveau van de HTTPS-verbinding verlaagden.
Slechts 11 van de 26 producten leverden up-to-date coderingssuites. 5 systemen voerden geen certificaatverificatie uit (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security en Total Security-producten werden aangevallen , en AVG-, Bitdefender- en Bullguard-producten worden aangevallen и . Met Dr.Web Antivirus 11 kunt u teruggaan naar onbetrouwbare exportcijfers (attack ).
Bron: opennet.ru