ایڈ بلاک پلس کے خالق ولادیمیر پیلنٹ،
مسئلہ کی وجہ یہ ہے کہ Bitdefender اینٹی وائرس سائٹ کے اصل TLS سرٹیفکیٹ کو تبدیل کرکے HTTPS ٹریفک کے مقامی مداخلت کو انجام دیتا ہے۔ کلائنٹ کے سسٹم پر ایک اضافی روٹ سرٹیفکیٹ نصب کیا گیا ہے، جو استعمال شدہ ٹریفک معائنہ کے نظام کے آپریشن کو چھپانا ممکن بناتا ہے۔ اینٹی وائرس خود کو محفوظ ٹریفک میں جوڑتا ہے اور محفوظ تلاش کے فنکشن کو لاگو کرنے کے لیے کچھ صفحات میں اپنا جاوا اسکرپٹ کوڈ داخل کرتا ہے، اور محفوظ کنکشن سرٹیفکیٹ میں دشواری کی صورت میں، یہ واپس کیے گئے ایرر پیج کو اپنے سے بدل دیتا ہے۔ چونکہ نیا ایرر صفحہ کھولے جانے والے سرور کی جانب سے پیش کیا جاتا ہے، اس لیے اس سرور پر موجود دیگر صفحات کو Bitdefender کے داخل کردہ مواد تک مکمل رسائی حاصل ہے۔
حملہ آور کے زیر کنٹرول سائٹ کو کھولتے وقت، وہ سائٹ ایک XMLHttpRequest بھیج سکتی ہے اور جواب دیتے وقت HTTPS سرٹیفکیٹ کے ساتھ مسائل پیش کر سکتی ہے، جس کی وجہ سے Bitdefender کے ذریعے جعلی صفحہ کی واپسی ہو جائے گی۔ چونکہ غلطی کا صفحہ حملہ آور کے ڈومین کے تناظر میں کھولا گیا ہے، اس لیے وہ Bitdefender پیرامیٹرز کے ساتھ جعل سازی والے صفحہ کے مواد کو پڑھ سکتا ہے۔ Bitdefender کی طرف سے فراہم کردہ صفحہ میں ایک سیشن کلید بھی شامل ہے جو آپ کو ایک علیحدہ Safepay براؤزر سیشن شروع کرنے کے لیے اندرونی Bitdefender API استعمال کرنے کی اجازت دیتی ہے، صوابدیدی کمانڈ لائن جھنڈوں کی وضاحت کرتے ہوئے، اور "-utility-cmd-prefix" کا استعمال کرتے ہوئے کسی بھی سسٹم کمانڈ کو لانچ کرنے کے لیے۔ پرچم استحصال کی ایک مثال (param1 اور param2 غلطی والے صفحہ سے حاصل کردہ اقدار ہیں):
var درخواست = نئی XMLHttpRequest()؛
request.open("POST", Math.random());
request.setRequestHeader("مواد کی قسم"، "application/x-www-form-urlencoded")؛
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"")؛
یاد رہے کہ 2017 میں کی گئی ایک تحقیق
11 مصنوعات میں سے صرف 26 نے موجودہ سائفر سویٹس فراہم کیے ہیں۔ 5 سسٹمز نے سرٹیفکیٹس کی تصدیق نہیں کی (کاسپرسکی انٹرنیٹ سیکیورٹی 16 میک، NOD32 اے وی 9، سائبرسیٹر، نیٹ نینی 7 ون، نیٹ نینی 7 میک)۔ Kaspersky انٹرنیٹ سیکیورٹی اور ٹوٹل سیکیورٹی پروڈکٹس حملے کا نشانہ بنے۔
ماخذ: opennet.ru