Vladimir Palant, skapare av Adblock Plus,
Orsaken till problemet är att Bitdefender antivirus utför lokal avlyssning av HTTPS-trafik genom att ersätta webbplatsens ursprungliga TLS-certifikat. Ett extra rotcertifikat är installerat på klientens system, vilket gör det möjligt att dölja driften av trafikinspektionssystemet som används. Antiviruset kilar in sig i skyddad trafik och infogar sin egen JavaScript-kod på vissa sidor för att implementera Safe Search-funktionen, och vid problem med det säkra anslutningscertifikatet ersätter det den returnerade felsidan med sin egen. Eftersom den nya felsidan visas på uppdrag av servern som öppnas, har andra sidor på den servern full åtkomst till innehållet som infogats av Bitdefender.
När du öppnar en webbplats som kontrolleras av en angripare, kan den webbplatsen skicka en XMLHttpRequest och låtsas problem med HTTPS-certifikatet när du svarar, vilket kommer att leda till att en felsida som är förfalskad av Bitdefender återkommer. Eftersom felsidan öppnas i sammanhanget för angriparens domän kan han läsa innehållet på den förfalskade sidan med Bitdefender-parametrar. Sidan som tillhandahålls av Bitdefender innehåller också en sessionsnyckel som låter dig använda det interna Bitdefender API för att starta en separat Safepay webbläsarsession, specificera godtyckliga kommandoradsflaggor och för att starta systemkommandon med "--utility-cmd-prefix" flagga. Ett exempel på en exploit (param1 och param2 är värden som erhålls från felsidan):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Innehållstyp", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Låt oss komma ihåg att en studie som genomfördes 2017
Endast 11 av de 26 produkterna gav aktuella chiffersviter. 5 system verifierade inte certifikat (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produkterna Kaspersky Internet Security och Total Security utsattes för attacker
Källa: opennet.ru