Bitdefender исправил уязвимость в защищенном браузере Bitdefender SafePay

2020-06-25 1603 комментарии
Компания Bitdefender выпустила автоматическое обновление для Bitdefender Antivirus Plus, Bitdefender Internet Security, Bitdefender Total Security, которое устраняет уязвимость CVE-2020-8102 в SafePay, позволяющую злоумышленникам выполнять команды удаленно

Решения безопасности предназначены для обеспечения защиты компьютерных систем, но данные модели рушатся, когда сами продукты становятся векторами для атак.

Таким примером может являться уязвимость удаленного исполнения кода в компоненте SafePay антивирусных решений Bitdefender Antivirus Plus 2020, Bitdefender Internet Security 2020 и Bitdefender Total Security 2020 (присвоен идентификатор CVE-2020-8102).

Bitdefender SafePay

В бюллетени по безопасности сообщается:

Уязвимость неправильной проверки ввода в браузерном компоненте Safepay в Bitdefender Total Security 2020 позволяет внешней специально созданной веб-странице удаленно запускать команды внутри процесса Safepay Utility. Данная проблема актуальна для Bitdefender Total Security 2020 версий до 24.0.20.116.

Уязвимость удаленного исполнения кода

Об обнаружении уязвимости заявил Владимир Палант, специалист по безопасности и разработчик расширения AdBlock Plus. Проблема безопасности связана с процессами защиты пользователей от недействительных сертификатов.

Для обеспечения общей защиты системы Bitdefender выступает в роли прокси-сервера по модели «человек посередине» (Man-in-the-Middle) и проверяет защищенные HTTPS-соединения.

Такая схема применяется почти всеми разработчиками антивирусного ПО и обычно называется Безопасный поиск, Веб-защита, Защита веб-доступа и др.

Большинство браузеров, когда им предоставляется недействительный или просроченный сертификат, выводят пользовательский запрос с предупреждениями и возможностями принять сертификат или отказаться от него. Bitdefender поступает аналогичным образом и предоставляет собственную веб-страницу с запросом (показана на скриншоте ниже).

CVE-2020-8102

Если пользователь игнорирует предупреждение HSTS (HTTP Strict Transport Security) и принимает риск, то это обычно такой сценарий не является проблемой.

Палант отмечает, что сам URL в адресной строке браузера остается неизменным. Это вынуждает приложение делиться токенами безопасности между целевой (потенциально опасной) страницей и другим сайтом, размещенных на том же сервере и работающим в виртуальной браузерной среде Bitdefender Safepay.

В своем отчете Палант сообщил:

URL-адрес в адресной строке не изменяется. Таким образом, страница ошибки приходит с сервера и нет никаких причин, почему другие веб-страницы с этого же сервера не могут получить к ней доступ. Независимо от того, какие токены безопасности содержит страница, веб-сайты могут беспрепятственно считывать их — аналогичную проблему я встречал в продуктах «Лаборатории Касперского».

Палант продемонстрировал данное поведение в созданной проверке концепции. Локальный веб-сервер предоставлял действительный сертификат SSL при первом запросе, но сразу же переключался на недействительный.

После переключения сертификата был сделан запрос AJAX для загрузки страницы с ошибкой SSL. Политика Same-origin в любом веб-браузере разрешает данный запрос, так как источник не меняется.

Палант пояснил:

Это позволяет загрузить вредоносную страницу в браузере, затем переключиться на недействительный сертификат и использовать метод XMLHttpRequest для загрузки полученной страницы ошибки. Браузер не предотвратит данную операцию, так как политики Same-origin соблюдаются. На этой странице ссылка «Я понимаю риск» будет содержать дополнительный код.

CVE-2020-8102

Bitdefender, как и другие антивирусные продукты, использует определенный набор токенов безопасности при выполнении запросов AJAX во время сеанса. Однако, эти значения определены явным образом и не обязательно изменяются, когда они должны.

Более того, функции «Безопасный поиск» и «Безопасный платеж» не используют дополнительную защиту.

Палант отметил:

Оказывается, что все функции используют одни и те же значения BDNDSS_B67EA559F21B487F861FDA8A44F01C50 и BDNDCA_BBACF84D61A04F9AA66019A14B035478, и компоненты «Безопасный поиск» и «Безопасный платеж» не используют никакой дополнительной защиты.

На практике это означает, что злоумышленник, раскрывший эти значения, например, когда пользователь посетил специально созданный вредоносный сайт во время работы Bitdefender, может скомпрометировать все другие «изолированные» банковские сайты, работающие в том же сеансе защищенного браузера Safepay в Bitdefender.

Что еще хуже, вредоносная страница может использовать эти же токены безопасности для выполнения запроса AJAX, который позволит выполнить произвольный код на компьютере жертвы.

CVE-2020-8102

Запрос содержит те же токены, которые используются во время сеанса Safepay Safe Banking, и дополнительно включает полезную нагрузку в виде " data :" URI. После обработки полезная нагрузка запускает командную строку на компьютере жертвы и может выполнять различные команды.

CVE-2020-8102

Исправление уже доступно для пользователей Bitdefender. Данный инцидент является очередным напоминанием о грубых ошибках, которые периодически встречаются, несмотря на наилучшие намерения разработчиков.

Bitdefender выпустил автоматическое обновление, которое устраняет эту уязвимость в Bitdefender Antivirus Plus 2020, Bitdefender Internet Security 2020, Bitdefender Total Security 2020 версии 24.0.20.116 и в более поздних версиях.

© . По материалам Bleeping Computer

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?