Une vulnérabilité d'exécution de code à distance dans Bitdefender, connu sous le nom de CVE-2020-8102 a été découvert récemment. Plus précisement, la vulnérabilité résidait dans le composant navigateur Safepay de la solution de sécurité.
CVE-2020-8102: Présentation technique
Voici la description officielle de CVE-2020-8102:
Vulnérabilité de validation d'entrée incorrecte dans le composant de navigateur Safepay de Bitdefender Total Security 2020 permet un externe, page Web spécialement conçue pour exécuter des commandes à distance dans le processus Safepay Utility. Ce problème affecte Bitdefender Total Security 2020 les versions antérieures à 24.0.20.116.
La vulnérabilité a été dévoilé par Wladimir Palant, le développeur original d'AdBlock Plus. La faille provient de la façon dont Bitdefender protège les utilisateurs contre les certificats non valides.
Dans le cadre de sa fonctionnalité de protection en ligne, Bitdefender Antivirus inspectera les connexions HTTPS sécurisées. Plutôt que de laisser la gestion des erreurs au navigateur, Bitdefender préfère pour une raison quelconque afficher ses propres pages d'erreur. Ceci est similaire à la façon dont Kaspersky le faisait, mais sans la plupart des effets indésirables. La conséquence est néanmoins que les sites Web peuvent lire certains jetons de sécurité à partir de ces pages d'erreur, le chercheur a dit dans son rapport.
Lorsqu'il est présenté avec un certificat SSL invalide ou expiré, la plupart des navigateurs demandent à l'utilisateur d'accepter le certificat avec un avertissement. Bitdefender agit également de manière similaire. Si un utilisateur choisit d'ignorer l'avertissement, connu sous le nom de HSTS (HTTP Strict Transport Security), ceci n'est généralement pas considéré comme un risque pour la sécurité.
Cependant, si l'URL dans la barre d'adresse reste constante, la solution de sécurité serait amenée à partager des jetons de sécurité entre la page suspecte et tous les autres sites hébergés sur le même serveur et exécutés dans l'environnement de navigation virtuelle Safepay de Bitdefender. Ce problème a déjà été observé dans les produits Kaspersky. Voici ce que le chercheur dit à ce sujet:
L'URL dans la barre d'adresse du navigateur ne change pas. En ce qui concerne le navigateur, cette page d'erreur provient du serveur Web et il n'y a aucune raison pour que les autres pages Web du même serveur ne puissent pas y accéder.. Quels que soient les jetons de sécurité qui y sont contenus, les sites Web peuvent les lire - un problème que nous avons vu dans les produits Kaspersky avant.
Il existe également une preuve de concept qui montre comment fonctionne la vulnérabilité. Pour ça, Palant a utilisé un serveur Web local et initialement un SSL valide qu'il a changé avec un non valide peu de temps après le premier.
Palant a démontré ce comportement via un PoC dans lequel il avait un serveur Web en cours d'exécution local présentant un certificat SSL valide à la première demande mais en passant à un non valide juste après.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: