Una vulnerabilità legata all'esecuzione di codice in modalità remota in Bitdefender, noto come CVE-2020-8102 è stato scoperto di recente. Più specificamente, la vulnerabilità risiedeva nel componente del browser Safepay nella soluzione di sicurezza.
CVE-2020-8102: Panoramica tecnica
Ecco la descrizione ufficiale di CVE-2020-8102:
Vulnerabilità di convalida dell'input errata nel componente del browser Safepay di Bitdefender Total Security 2020 consente un esterno, pagina Web appositamente creata per eseguire comandi remoti all'interno del processo Utilità Safepay. Questo problema riguarda Bitdefender Total Security 2020 versioni precedenti alla 24.0.20.116.
Il vulnerabilità è stato divulgato da Wladimir Palant, lo sviluppatore originale di AdBlock Plus. Il difetto deriva dal modo in cui Bitdefender protegge gli utenti da certificati non validi.
Come parte della sua funzionalità di protezione online, Bitdefender Antivirus controllerà le connessioni HTTPS sicure. Invece di lasciare la gestione degli errori al browser, Bitdefender per qualche motivo preferisce mostrare le proprie pagine di errore. Questo è simile al modo in cui Kaspersky lo faceva, ma senza la maggior parte degli effetti avversi. La conseguenza è tuttavia che i siti Web possono leggere alcuni token di sicurezza da queste pagine di errore, disse il ricercatore nel suo rapporto.
Se presentato con un certificato SSL non valido o scaduto, la maggior parte dei browser chiede all'utente di accettare il certificato con un avviso. Anche Bitdefender agisce in modo simile. Se un utente sceglie di ignorare l'avviso, noto come HSTS (Sicurezza di trasporto rigorosa HTTP), questo non è generalmente considerato un rischio per la sicurezza.
Tuttavia, se l'URL nella barra degli indirizzi rimane costante, la soluzione di sicurezza sarebbe indotta a condividere token di sicurezza tra la pagina sospetta e tutti gli altri siti ospitati sullo stesso server e in esecuzione all'interno dell'ambiente di navigazione virtuale di Bitdefender Safepay. Questo problema è stato precedentemente riscontrato nei prodotti Kaspersky. Ecco cosa dice il ricercatore a riguardo:
L'URL nella barra degli indirizzi del browser non cambia. Per quanto riguarda il browser, questa pagina di errore ha avuto origine sul server Web e non vi è alcun motivo per cui altre pagine Web dallo stesso server non dovrebbero essere in grado di accedervi. Qualunque token di sicurezza sia contenuto al suo interno, i siti Web possono leggerli - un problema che abbiamo già visto in precedenza nei prodotti Kaspersky.
Esistono anche prove di concetto che dimostrano come funziona la vulnerabilità. Per questo, Palant utilizzava un server Web locale e inizialmente un SSL valido che ha cambiato con uno non valido poco dopo il primo.
Palant ha dimostrato questo comportamento tramite un PoC in cui aveva un server Web localmente in esecuzione che presentava un certificato SSL valido sulla prima richiesta ma passava a uno non valido subito dopo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: