Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Bitdefender, bekannt als CVE-2020-8102 wurde kürzlich entdeckt. Genauer, Die Sicherheitsanfälligkeit befand sich in der Safepay-Browserkomponente in der Sicherheitslösung.
CVE-2020-8102: technischer Überblick
Hier ist die offizielle Beschreibung von CVE-2020-8102:
Sicherheitsanfälligkeit bezüglich fehlerhafter Eingabevalidierung in der Safepay-Browserkomponente von Bitdefender Total Security 2020 ermöglicht eine externe, Speziell gestaltete Webseite zum Ausführen von Remote-Befehlen im Safepay Utility-Prozess. Dieses Problem betrifft die Gesamtsicherheit von Bitdefender 2020 Versionen vor 24.0.20.116.
Die Verwundbarkeit wurde von Wladimir Palant offenbart, der ursprüngliche Entwickler von AdBlock Plus. Der Fehler beruht auf der Art und Weise, wie Bitdefender Benutzer vor ungültigen Zertifikaten schützt.
Im Rahmen seiner Online-Schutzfunktionalität, Bitdefender Antivirus überprüft sichere HTTPS-Verbindungen. Anstatt die Fehlerbehandlung dem Browser zu überlassen, Bitdefender zieht es aus irgendeinem Grund vor, eigene Fehlerseiten anzuzeigen. Dies ähnelt der Vorgehensweise von Kaspersky, jedoch ohne die meisten nachteiligen Auswirkungen. Die Folge ist jedoch, dass Websites einige Sicherheitstoken von diesen Fehlerseiten auslesen können, sagte der Forscher in seinem Bericht.
Bei Vorlage eines ungültigen oder abgelaufenen SSL-Zertifikats, Die meisten Browser fordern den Benutzer auf, das Zertifikat mit einer Warnung zu akzeptieren. Bitdefender verhält sich ebenfalls ähnlich. Wenn ein Benutzer die Warnung ignoriert, bekannt als HSTS (Strikte HTTP-Transportsicherheit), Dies wird im Allgemeinen nicht als Sicherheitsrisiko angesehen.
Jedoch, wenn die URL in der Adressleiste konstant bleibt, Die Sicherheitslösung würde dazu verleitet, Sicherheitstoken zwischen der verdächtigen Seite und allen anderen Websites, die auf demselben Server gehostet werden und in der virtuellen Safepay-Browserumgebung von Bitdefender ausgeführt werden, gemeinsam zu nutzen. Dieses Problem wurde bereits bei Kaspersky-Produkten festgestellt. Hier ist, was der Forscher dazu sagt:
Die URL in der Adressleiste des Browsers ändert sich nicht. Soweit es den Browser betrifft, Diese Fehlerseite stammt vom Webserver und es gibt keinen Grund, warum andere Webseiten vom selben Server nicht darauf zugreifen können sollten. Welche Sicherheitstoken auch immer darin enthalten sind, Websites können sie vorlesen - ein Problem, das wir bereits bei Kaspersky-Produkten gesehen haben.
Es gibt auch einen Proof-of-Concept, der zeigt, wie die Sicherheitsanfälligkeit funktioniert. Dafür, Palant verwendete einen lokalen Webserver und zunächst ein gültiges SSL, das er kurz nach dem ersten durch ein ungültiges änderte.
Palant demonstrierte dieses Verhalten über einen PoC, in dem ein lokal laufender Webserver bei der ersten Anforderung ein gültiges SSL-Zertifikat vorlegte, aber unmittelbar danach zu einem ungültigen wechselte.