Володимир Палант, творець Adblock Plus, () у заснованому на двигуні Chromium спеціалізованому web-браузері Safepay, що пропонується у складі антивірусного пакету Bitdefender Total Security 2020 і націленому на підвищення безпеки роботи користувача в глобальній мережі (наприклад, надається додаткова ізоляція при зверненні до банків та платіжних систем). Вразливість дає можливість сайтам, що відкриваються в браузері, виконати довільний код на рівні операційної системи.
Причина проблеми в тому, що антивірус Bitdefender виконує локальне перехоплення HTTPS-трафіку через заміну оригінального сертифіката TLS сайту. На системі клієнта встановлюється додатковий кореневий сертифікат, що дозволяє приховати роботу системи інспектування трафіку, що застосовується. Антивірус вклинюється в захищений трафік і підставляє в деякі сторінки власний JavaScript-код для реалізації функції Safe Search, а у разі проблем із сертифікатом захищеного з'єднання підмінює сторінку, що видається, з помилкою на власну. Так як нова сторінка з помилкою видається від імені сервера, що відкривається, інші сторінки даного сервера мають повний доступ до вмісту, що вставляється Bitdefender.
При відкритті підконтрольного зловмиснику сайту, цей сайт може надіслати запит XMLHttpRequest і симулювати у відповідь проблеми з HTTPS-сертифікатом, що призведе до повернення сторінки з помилкою, підміненою Bitdefender. Оскільки сторінка з помилкою відкрита в контексті домену атакуючого, він може прочитати вміст підміненої сторінки з параметрами Bitdefender. На сторінці Bitdefender, що підставляється, в тому числі присутній сесійний ключ, що дозволяє за допомогою внутрішнього API Bitdefender запустити окремий сеанс браузера Safepay, вказавши при цьому довільні прапори командного рядка, і домогтися запуску будь-яких системних команд за допомогою прапора «-utility-cmd-prefix». Приклад експлоїту (param1 і param2 - значення, отримані зі сторінки з помилкою):
var request = новий XMLHttpRequest();
request.open(«POST», Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send(«data:text/html,nada-utility-cmd-prefix=»cmd.exe /k whoami & echo»);
Нагадаємо, що проведене у 2017 році дослідження , що 24 з 26 протестованих антивірусних продуктів, що перевіряють HTTPS-трафік через заміну сертифікатів, знижували загальний рівень безпеки HTTPS-з'єднання.
Актуальні набори шифрів надавалися лише у 11 із 26 продуктів. 5 систем не здійснювали верифікацію сертифікатів (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Продукти Kaspersky Internet Security і Total Security були схильні до атаки , а продукти AVG, Bitdefender та Bullguard атакам и . Продукт Dr.Web Antivirus 11 дозволяє відкотитися на ненадійні експортні шифри (атака ).
Джерело: opennet.ru