Владимир Палант, создатель Adblock Plus, выявил (https://palant.info/2020/06/22/exploiting-bitdefender-antivirus-rce-from-any-website/) уязвимость (https://www.bitdefender.com/support/security-advisories/insufficient-url-sanitization-validation-safepay-browser-va-8631/) (CVE-2020-8102 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8102)) в основанном на движке Chromium специализированном web-браузере Safepay, предлагаемом в составе антивирусного пакета Bitdefender Total Security 2020 и нацеленном на повышение безопасности работы пользователя в глобальной сети (например, предоставляется дополнительная изоляция при обращении к банкам и платёжным системам). Уязвимость даёт возможность открываемым в браузере сайтам выполнить произвольный код на уровне операционной системы.

Причина проблемы в том, что антивирус Bitdefender выполняет локальный перехват HTTPS-трафика через подмену оригинального TLS-сертификата сайта. На системе клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика. Антивирус вклинивается в защищённый трафик и подставляет в некоторые страницы собственный JavaScript-код для реализации функции Safe Search, а в случае проблем с сертификатом защищённого соединения подменяет выдаваемую страницу с ошибкой на собственную. Так как новая страница с ошибкой выдаётся от имени открываемого сервера, другие страницы данного сервера имеют полный доступ к содержимому, вставляемому Bitdefender.

При открытии подконтрольного злоумышленнику сайта, этот сайт может отправить запрос XMLHttpRequest и симулировать при ответе проблемы с HTTPS-сертификатом, что приведёт к возврату страницы с ошибкой, подменённой Bitdefender. Так как страница с ошибкой открыта в контексте домена атакующего, он может прочитать содержимое подменённой страницы с параметрами Bitdefender. На подставляемой Bitdefender странице в том числе присутствует сессионный ключ, позволяющий при помощи внутреннего API Bitdefender запустить отдельный сеанс браузера Safepay, указав при этом произвольные флаги командной строки, и добиться запуска любых системных команд при помощи флага "--utility-cmd-prefix". Пример эксплоита (param1 и param2 - значения, полученные со страницы с ошибкой):

var request = new XMLHttpRequest();

request.open("POST", Math.random());

request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");

request.setRequestHeader("BDNDSS_B67EA559F21B487F861FDA8A44F01C50", param1);

request.setRequestHeader("BDNDCA_BBACF84D61A04F9AA66019A14B035478", param2);

request.setRequestHeader("BDNDWB_5056E556833D49C1AF4085CB254FC242", "obk.run");

request.setRequestHeader("BDNDOK_4E961A95B7B44CBCA1907D3D3643370D", location.href);

request.send("data:text/html,nada --utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");

https://www.opennet.ru/opennews/pics_base/0_1592997143.png (https://palant.info/2020/06/22/exploiting-bitdefender-antivirus-rce-from-any-website/rce.png)

Напомним, что проведённое в 2017 году исследование показало (https://www.opennet.ru/opennews/art.shtml?num=45996), что 24 из 26 протестированных антивирусных продуктов, инспектирующих HTTPS-трафик через подмену сертификатов, снижали общий уровень безопасности HTTPS-соединения. Актуальные наборы шифров предоставлялись только в 11 из 26 продуктов. 5 систем не осуществляли верификацию сертификатов (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Продукты Kaspersky Internet Security и Total Security были подвержены атаке CRIME (https://www.opennet.ru/opennews/art.shtml?num=34869), а продукты AVG, Bitdefender и Bullguard атакам Logjam (https://www.opennet.ru/opennews/art.shtml?num=42270) и POODLE (https://www.opennet.ru/opennews/art.shtml?num=40833). Продукт Dr.Web Antivirus 11 позволяет откатиться на ненадёжные экспортные шифры (атака FREAK (https://www.opennet.ru/opennews/art.shtml?num=41782)).

24.06.2020.

https://www.opennet.ru/opennews/art.shtml?num=53223​