En sårbarhed med eksekvering af ekstern kode i Bitdefender, kendt som CVE-2020-8102 blev opdaget for nylig. Mere specifikt, sårbarheden, der findes i Safepay-browserkomponenten i sikkerhedsløsningen.
CVE-2020-8102: Teknisk oversigt
Her er den officielle beskrivelse af CVE-2020-8102:
Forkert indgangsvalideringssårbarhed i Safepay-browserkomponenten i Bitdefender Total Security 2020 tillader en ekstern, specielt udformet webside til at køre fjernkommandoer i Safepay Utility-processen. Dette problem påvirker Bitdefender Total Security 2020 versioner før 24.0.20.116.
Den sårbarhed blev afsløret af Wladimir Palant, den oprindelige udvikler af AdBlock Plus. Fejlen stammer fra den måde, Bitdefender beskytter brugere mod ugyldige certifikater.
Som en del af sin online beskyttelsesfunktionalitet, Bitdefender Antivirus vil inspicere sikre HTTPS-forbindelser. I stedet for at overlade fejlhåndtering til browseren, Af en eller anden grund foretrækker Bitdefender at vise deres egne fejlsider. Dette ligner, hvordan Kaspersky plejede at gøre det, men uden de fleste af de negative virkninger. Konsekvensen er ikke desto mindre, at websteder kan læse nogle sikkerhedstokens fra disse fejlsider, sagde forskeren i sin rapport.
Når det præsenteres med et ugyldigt eller udløbet SSL-certifikat, de fleste browsere beder brugeren om at acceptere certifikatet med en advarsel. Bitdefender fungerer også på en lignende måde. Hvis en bruger vælger at ignorere advarslen, kendt som HSTS (HTTP streng transportsikkerhed), dette betragtes generelt ikke som en sikkerhedsrisiko.
Men, hvis URL'en i adresselinjen forbliver konstant, sikkerhedsløsningen ville blive narret til at dele sikkerhedstokener mellem den mistænkelige side og alle andre websteder, der er vært på den samme server og køre inden for Bitdefenders virtuelle browsemiljø Safepay. Dette problem er tidligere set i Kaspersky-produkter. Her er hvad forskeren siger om dette:
URL-adressen i browserens adresselinje ændres ikke. Så hvad angår browseren, denne fejlside stammer fra webserveren, og der er ingen grund til, at andre websider fra den samme server ikke skal kunne få adgang til den. Uanset hvilke sikkerhedsmærker der findes i det, websteder kan læse dem op - et problem, vi har set i Kaspersky-produkter før.
Der er også et bevis-of-concept, der viser, hvordan sårbarheden fungerer. For det, Palant brugte en lokal webserver og oprindeligt en gyldig SSL, som han skiftede med en ugyldig kort efter den første.
Palant demonstrerede denne opførsel via en PoC, hvor han havde en lokalt kørende webserver, der præsenterede et gyldigt SSL-certifikat på den første anmodning, men skiftede til en ugyldig en lige efter.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: