Vladimir Palant, người tạo ra Adblock Plus, () trong trình duyệt web Safepay chuyên dụng dựa trên công cụ Chrome, được cung cấp như một phần của gói chống vi-rút Bitdefender Total Security 2020 và nhằm mục đích tăng tính bảo mật cho công việc của người dùng trên mạng toàn cầu (ví dụ: cách ly bổ sung được cung cấp khi truy cập vào ngân hàng và hệ thống thanh toán). Lỗ hổng này cho phép các trang web được mở trong trình duyệt thực thi mã tùy ý ở cấp hệ điều hành.
Nguyên nhân của sự cố là do phần mềm chống vi-rút Bitdefender thực hiện chặn lưu lượng HTTPS cục bộ bằng cách thay thế chứng chỉ TLS gốc của trang web. Một chứng chỉ gốc bổ sung được cài đặt trên hệ thống của khách hàng, giúp ẩn hoạt động của hệ thống kiểm tra giao thông được sử dụng. Phần mềm chống vi-rút tự chèn vào lưu lượng được bảo vệ và chèn mã JavaScript của riêng nó vào một số trang để triển khai chức năng Tìm kiếm an toàn và trong trường hợp có vấn đề với chứng chỉ kết nối an toàn, nó sẽ thay thế trang lỗi được trả về bằng chính nó. Vì trang lỗi mới được phục vụ thay mặt cho máy chủ đang được mở nên các trang khác trên máy chủ đó có toàn quyền truy cập vào nội dung được Bitdefender chèn vào.
Khi mở một trang web do kẻ tấn công kiểm soát, trang web đó có thể gửi XMLHttpRequest và giả vờ có vấn đề với chứng chỉ HTTPS khi phản hồi, điều này sẽ dẫn đến việc trả về một trang lỗi do Bitdefender giả mạo. Vì trang lỗi được mở trong bối cảnh miền của kẻ tấn công nên kẻ tấn công có thể đọc nội dung của trang giả mạo với các tham số Bitdefender. Trang do Bitdefender cung cấp cũng chứa khóa phiên cho phép bạn sử dụng API Bitdefender nội bộ để khởi chạy một phiên trình duyệt Safepay riêng biệt, chỉ định các cờ dòng lệnh tùy ý và khởi chạy bất kỳ lệnh hệ thống nào bằng cách sử dụng tiền tố “--utility-cmd-prefix” lá cờ. Một ví dụ về cách khai thác (param1 và param2 là các giá trị thu được từ trang lỗi):
var request = new XMLHttpRequest ();
request.open("POST", Math.random());
request.setRequestHeader("Loại nội dung", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Chúng ta hãy nhớ lại rằng một nghiên cứu được thực hiện vào năm 2017 rằng 24 trong số 26 sản phẩm chống vi-rút được thử nghiệm kiểm tra lưu lượng HTTPS thông qua việc giả mạo chứng chỉ đã làm giảm mức độ bảo mật tổng thể của kết nối HTTPS.
Chỉ có 11 trong số 26 sản phẩm cung cấp bộ mật mã hiện tại. 5 hệ thống không xác minh chứng chỉ (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Các sản phẩm Kaspersky Internet Security và Total Security có thể bị tấn công , và các sản phẩm AVG, Bitdefender và Bullguard bị tấn công и . Dr.Web Antivirus 11 cho phép bạn quay trở lại các mật mã xuất khẩu không đáng tin cậy (tấn công ).
Nguồn: opennet.ru