ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Владимир Палант, создатель Adblock Plus, выявил уязвимость (CVE-2020-8102) в основанном на движке Chromium специализированном web-браузере Safepay, предлагаемом в составе антивирусного пакета Bitdefender Total Security 2020 и нацеленном на повышение безопасности работы пользователя в глобальной сети (например, предоставляется дополнительная изоляция при обращении к банкам и платёжным системам). Уязвимость даёт возможность открываемым в браузере сайтам выполнить произвольный код на уровне операционной системы.

Причина проблемы в том, что антивирус Bitdefender выполняет локальный перехват HTTPS-трафика через подмену оригинального TLS-сертификата сайта. На системе клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика. Антивирус вклинивается в защищённый трафик и подставляет в некоторые страницы собственный JavaScript-код для реализации функции Safe Search, а в случае проблем с сертификатом защищённого соединения подменяет выдаваемую страницу с ошибкой на собственную. Так как новая страница с ошибкой выдаётся от имени открываемого сервера, другие страницы данного сервера имеют полный доступ к содержимому, вставляемому Bitdefender.

При открытии подконтрольного злоумышленнику сайта, этот сайт может отправить запрос XMLHttpRequest и симулировать при ответе проблемы с HTTPS-сертификатом, что приведёт к возврату страницы с ошибкой, подменённой Bitdefender. Так как страница с ошибкой открыта в контексте домена атакующего, он может прочитать содержимое подменённой страницы с параметрами Bitdefender. На подставляемой Bitdefender странице в том числе присутствует сессионный ключ, позволяющий при помощи внутреннего API Bitdefender запустить отдельный сеанс браузера Safepay, указав при этом произвольные флаги командной строки, и добиться запуска любых системных команд при помощи флага "--utility-cmd-prefix". Пример эксплоита (param1 и param2 - значения, полученные со страницы с ошибкой):

var request = new XMLHttpRequest();

request.open("POST", Math.random());

request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");

request.setRequestHeader("BDNDSS_B67EA559F21B487F8 61FDA8A44F01C50", param1);

request.setRequestHeader("BDNDCA_BBACF84D61A04F9AA 66019A14B035478", param2);

request.setRequestHeader("BDNDWB_5056E556833D49C1A F4085CB254FC242", "obk.run");

request.setRequestHeader("BDNDOK_4E961A95B7B44CBCA 1907D3D3643370D", location.href);

request.send("data:text/html,nada --utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");



Напомним, что проведённое в 2017 году исследование показало, что 24 из 26 протестированных антивирусных продуктов, инспектирующих HTTPS-трафик через подмену сертификатов, снижали общий уровень безопасности HTTPS-соединения. Актуальные наборы шифров предоставлялись только в 11 из 26 продуктов. 5 систем не осуществляли верификацию сертификатов (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Продукты Kaspersky Internet Security и Total Security были подвержены атаке CRIME, а продукты AVG, Bitdefender и Bullguard атакам Logjam и POODLE. Продукт Dr.Web Antivirus 11 позволяет откатиться на ненадёжные экспортные шифры (атака FREAK).