Vladimir Palant, krijuesi i Adblock Plus, () në shfletuesin e specializuar të internetit Safepay bazuar në motorin Chromium, i ofruar si pjesë e paketës antivirus Bitdefender Total Security 2020 dhe synon rritjen e sigurisë së punës së përdoruesit në rrjetin global (për shembull, sigurohet izolim shtesë kur hyni në banka dhe sistemet e pagesave). Dobësia lejon që faqet e internetit të hapura në shfletues të ekzekutojnë kode arbitrare në nivelin e sistemit operativ.
Shkaku i problemit është se antivirusi Bitdefender kryen përgjimin lokal të trafikut HTTPS duke zëvendësuar certifikatën origjinale TLS të faqes. Në sistemin e klientit është instaluar një certifikatë shtesë rrënjësore, e cila bën të mundur fshehjen e funksionimit të sistemit të inspektimit të trafikut të përdorur. Antivirusi futet në trafikun e mbrojtur dhe fut kodin e tij JavaScript në disa faqe për të zbatuar funksionin e Kërkimit të Sigurt, dhe në rast të problemeve me certifikatën e lidhjes së sigurt, ai zëvendëson faqen e gabimit të kthyer me të tijën. Meqenëse faqja e re e gabimit shërbehet në emër të serverit që hapet, faqet e tjera në atë server kanë akses të plotë në përmbajtjen e futur nga Bitdefender.
Kur hapni një sajt të kontrolluar nga një sulmues, ai sajt mund të dërgojë një XMLHttpRequest dhe të shtirë probleme me certifikatën HTTPS kur përgjigjet, gjë që do të çojë në kthimin e një faqe gabimi të falsifikuar nga Bitdefender. Meqenëse faqja e gabimit hapet në kontekstin e domenit të sulmuesit, ai mund të lexojë përmbajtjen e faqes së falsifikuar me parametrat Bitdefender. Faqja e ofruar nga Bitdefender përmban gjithashtu një çelës sesioni që ju lejon të përdorni API-në e brendshme të Bitdefender për të nisur një seancë të veçantë të shfletuesit Safepay, duke specifikuar flamuj arbitrare të linjës së komandës dhe për të nisur çdo komandë sistemi duke përdorur "--utility-cmd-prefiksin" flamuri. Një shembull i një shfrytëzimi (param1 dhe param2 janë vlerat e marra nga faqja e gabimit):
var kërkesë = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Kujtojmë se një studim i kryer në vitin 2017 se 24 nga 26 produkte antivirus të testuar që inspektojnë trafikun HTTPS përmes mashtrimit të certifikatave reduktuan nivelin e përgjithshëm të sigurisë së një lidhjeje HTTPS.
Vetëm 11 nga 26 produktet ofruan paketa aktuale të shifrave. 5 sisteme nuk kanë verifikuar certifikatat (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produktet Kaspersky Internet Security dhe Total Security iu nënshtruan sulmeve , dhe produktet AVG, Bitdefender dhe Bullguard sulmohen и . Dr.Web Antivirus 11 ju lejon të ktheheni te shifrat jo të besueshme të eksportit (sulm ).
Burimi: opennet.ru