Решения безопасности предназначены для обеспечения защиты компьютерных систем, но данные модели рушатся, когда сами продукты становятся векторами для атак.
Таким примером может являться уязвимость удаленного исполнения кода в компоненте SafePay антивирусных решений Bitdefender Antivirus Plus 2020, Bitdefender Internet Security 2020 и Bitdefender Total Security 2020 (присвоен идентификатор CVE-2020-8102).
В бюллетени по безопасности сообщается:
Уязвимость неправильной проверки ввода в браузерном компоненте Safepay в Bitdefender Total Security 2020 позволяет внешней специально созданной веб-странице удаленно запускать команды внутри процесса Safepay Utility. Данная проблема актуальна для Bitdefender Total Security 2020 версий до 24.0.20.116.
Уязвимость удаленного исполнения кода
Об обнаружении уязвимости заявил Владимир Палант, специалист по безопасности и разработчик расширения AdBlock Plus. Проблема безопасности связана с процессами защиты пользователей от недействительных сертификатов.
Для обеспечения общей защиты системы Bitdefender выступает в роли прокси-сервера по модели «человек посередине» (Man-in-the-Middle) и проверяет защищенные HTTPS-соединения.
Такая схема применяется почти всеми разработчиками антивирусного ПО и обычно называется Безопасный поиск, Веб-защита, Защита веб-доступа и др.
Большинство браузеров, когда им предоставляется недействительный или просроченный сертификат, выводят пользовательский запрос с предупреждениями и возможностями принять сертификат или отказаться от него. Bitdefender поступает аналогичным образом и предоставляет собственную веб-страницу с запросом (показана на скриншоте ниже).
Если пользователь игнорирует предупреждение HSTS (HTTP Strict Transport Security) и принимает риск, то это обычно такой сценарий не является проблемой.
Палант отмечает, что сам URL в адресной строке браузера остается неизменным. Это вынуждает приложение делиться токенами безопасности между целевой (потенциально опасной) страницей и другим сайтом, размещенных на том же сервере и работающим в виртуальной браузерной среде Bitdefender Safepay.
В своем отчете Палант сообщил:
URL-адрес в адресной строке не изменяется. Таким образом, страница ошибки приходит с сервера и нет никаких причин, почему другие веб-страницы с этого же сервера не могут получить к ней доступ. Независимо от того, какие токены безопасности содержит страница, веб-сайты могут беспрепятственно считывать их — аналогичную проблему я встречал в продуктах «Лаборатории Касперского».
Палант продемонстрировал данное поведение в созданной проверке концепции. Локальный веб-сервер предоставлял действительный сертификат SSL при первом запросе, но сразу же переключался на недействительный.
После переключения сертификата был сделан запрос AJAX для загрузки страницы с ошибкой SSL. Политика Same-origin в любом веб-браузере разрешает данный запрос, так как источник не меняется.
Палант пояснил:
Это позволяет загрузить вредоносную страницу в браузере, затем переключиться на недействительный сертификат и использовать метод XMLHttpRequest для загрузки полученной страницы ошибки. Браузер не предотвратит данную операцию, так как политики Same-origin соблюдаются. На этой странице ссылка «Я понимаю риск» будет содержать дополнительный код.
Bitdefender, как и другие антивирусные продукты, использует определенный набор токенов безопасности при выполнении запросов AJAX во время сеанса. Однако, эти значения определены явным образом и не обязательно изменяются, когда они должны.
Более того, функции «Безопасный поиск» и «Безопасный платеж» не используют дополнительную защиту.
Палант отметил:
Оказывается, что все функции используют одни и те же значения BDNDSS_B67EA559F21B487F861FDA8A44F01C50 и BDNDCA_BBACF84D61A04F9AA66019A14B035478, и компоненты «Безопасный поиск» и «Безопасный платеж» не используют никакой дополнительной защиты.
На практике это означает, что злоумышленник, раскрывший эти значения, например, когда пользователь посетил специально созданный вредоносный сайт во время работы Bitdefender, может скомпрометировать все другие «изолированные» банковские сайты, работающие в том же сеансе защищенного браузера Safepay в Bitdefender.
Что еще хуже, вредоносная страница может использовать эти же токены безопасности для выполнения запроса AJAX, который позволит выполнить произвольный код на компьютере жертвы.
Запрос содержит те же токены, которые используются во время сеанса Safepay Safe Banking, и дополнительно включает полезную нагрузку в виде " data :" URI. После обработки полезная нагрузка запускает командную строку на компьютере жертвы и может выполнять различные команды.
Исправление уже доступно для пользователей Bitdefender. Данный инцидент является очередным напоминанием о грубых ошибках, которые периодически встречаются, несмотря на наилучшие намерения разработчиков.
Bitdefender выпустил автоматическое обновление, которое устраняет эту уязвимость в Bitdefender Antivirus Plus 2020, Bitdefender Internet Security 2020, Bitdefender Total Security 2020 версии 24.0.20.116 и в более поздних версиях.
Обновления программ, что нового
• Яндекс.Браузер прекратил поддержку для Windows 7, Windows 8 и 8.1
• Популярные игры в отчете «Лучшее в Steam за 2024 год»
• Обновление Intel Ethernet Adapter Complete Driver Pack 29.5: Поддержка FreeBSD 13.4 и Kylin Linux Advanced Server V10
• Представлен Vivo Y29 5G: экран 120 Гц, процессор Dimensity 6300, быстрая зарядка 44 Вт
• Минцифры и Роскомнадзор обсуждают запрет голосовых звонков в мессенджерах из-за роста мошенничества
• Google Chrome использует ИИ для анализа страниц с целью обнаружения мошенничества