Uma vulnerabilidade de execução remota de código no Bitdefender, conhecido como CVE-2020-8102 foi descoberto recentemente. Mais especificamente, a vulnerabilidade residia no componente do navegador Safepay na solução de segurança.
CVE-2020-8102: Visão geral técnica
Aqui está a descrição oficial do CVE-2020-8102:
Vulnerabilidade de validação de entrada inadequada no componente do navegador Safepay do Bitdefender Total Security 2020 permite um externo, página da web especialmente criada para executar comandos remotos dentro do processo do Safepay Utility. Este problema afeta o Bitdefender Total Security 2020 versões anteriores a 24.0.20.116.
o vulnerabilidade foi divulgado por Wladimir Palant, o desenvolvedor original do AdBlock Plus. A falha decorre da maneira como o Bitdefender protege os usuários contra certificados inválidos.
Como parte de sua funcionalidade de proteção on-line, O Bitdefender Antivirus inspecionará as conexões HTTPS seguras. Em vez de deixar o tratamento de erros no navegador, O Bitdefender, por algum motivo, prefere exibir suas próprias páginas de erro. É semelhante à maneira como a Kaspersky costumava fazer isso, mas sem a maioria dos efeitos adversos. A consequência é, no entanto, que os sites podem ler alguns tokens de segurança nessas páginas de erro, o pesquisador disse em seu relatório.
Quando apresentado com um certificado SSL inválido ou expirado, a maioria dos navegadores solicita que o usuário aceite o certificado com um aviso. O Bitdefender também age de maneira semelhante. Se um usuário optar por ignorar o aviso, conhecido como HSTS (Segurança estrita de transporte HTTP), isso geralmente não é considerado um risco de segurança.
Contudo, se o URL dentro da barra de endereço permanecer constante, a solução de segurança seria enganada no compartilhamento de tokens de segurança entre a página suspeita e todos os outros sites hospedados no mesmo servidor e em execução no ambiente de navegação virtual Safepay da Bitdefender. Este problema foi visto anteriormente nos produtos Kaspersky. Aqui está o que o pesquisador diz sobre isso:
O URL na barra de endereço do navegador não muda. Então, no que diz respeito ao navegador, esta página de erro se originou no servidor da web e não há motivo para que outras páginas da web do mesmo servidor não possam acessá-la. Quaisquer que sejam os tokens de segurança nele contidos, os sites podem lê-los - um problema que vimos nos produtos Kaspersky antes.
Também há provas de conceito que demonstram como a vulnerabilidade funciona. para isso, Palant usou um servidor web local e, inicialmente, um SSL válido, que ele mudou com um inválido logo após o primeiro.
Palant demonstrou esse comportamento por meio de um PoC no qual ele tinha um servidor da Web executando localmente apresentando um certificado SSL válido na primeira solicitação, mas alternando para um inválido logo após.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: