Hacker erlauben das Ausführen von Befehlen, während BitDefender Fehler behebt

Sicherheitslösungen wurden hauptsächlich entwickelt, um die Sicherheit von Unternehmen zu gewährleisten. Diese Modelle brechen jedoch zusammen, wenn dieselbe Software zu einem Bedrohungsvektor für Cyberkriminelle wird. In diesem Fall lauert die neue Sicherheitsanfälligkeit bezüglich der Ausführung von BitDefender-Remotecode mit der Bezeichnung CVE-202-8102 in der Safepay-Browserkomponente.

Eine Empfehlung ergab, dass “eine Sicherheitsanfälligkeit bezüglich fehlerhafter Eingabevalidierung in der Safepay-Browserkomponente von Bitdefender Total Security 2020 es einer externen, speziell gestalteten Webseite ermöglicht, Remotebefehle innerhalb des Safepay-Dienstprogrammprozesses auszuführen. Dieses Problem betrifft Bitdefender Total Security 2020-Versionen vor dem 24.0.20.116 , “

Die Bitdefender RCE-Sicherheitsanfälligkeit

Durch die Offenlegung durch Wladimir Palant, einen Sicherheitsblogger und ursprünglichen Entwickler der Adblock Plus-Erweiterung, wurde eine Sicherheitslücke entdeckt, durch die Btidefender Personen vor ungültigen Zertifikaten schützt. Als Teil der Lösung fungiert sie daher als Man-in-the-Middle, um sichere HTTPS-Verbindungen zu überprüfen. Dieses Verhalten wird hauptsächlich von allen Antiviren-Anbietern verwendet und allgemein als Web Protection, Safe Search usw. bezeichnet.

Wenn danach ein ungültiges SSL-Zertifikat angezeigt wird, übergeben Sie die Option an den Benutzer, um das Zertifikat mit den Warnungen zu akzeptieren oder weg zu navigieren. Benutzer sollten HSTS-Warnungen ignorieren und auf eigenes Risiko vorgehen, was normalerweise kein Hauptproblem darstellt.

Der Palant stellt interessante Dinge fest, bei denen die URL selbst in den Adressleisten des Browsers konstant bleibt. Dieser Trick wird verwendet, um die Anwendungen zwischen potenziell schädlichen Seiten und anderen Websites zu teilen, die auf demselben Server gehostet werden und in der virtuellen Safepay-Browserumgebung von Bitdefender ausgeführt werden.

Laut Palant “ändert sich die URL in der Adressleiste des Browsers nicht. Für den Browser stammt diese Fehlerseite vom Webserver, und es gibt keinen Grund, warum andere Webseiten desselben Servers dies nicht tun sollten.” Sie können darauf zugreifen. Unabhängig davon, welche Sicherheitstoken darin enthalten sind, können Websites sie vorlesen – ein Problem, das wir bereits bei Kaspersky-Produkten gesehen haben. “

Nach dem Wechsel des Zertifikats wurde eine AJAX-Anforderung zum Herunterladen der SSL-Fehlerseite gestellt. Das Gleiche gilt natürlich für jeden Browser, der diese Anfrage zulässt, wenn der gleiche Ursprung beibehalten wird.

Palant erklärte: “Dies ermöglichte das Laden einer schädlichen Seite in den Browser, das Wechseln zu einem ungültigen Zertifikat und das Herunterladen der resultierenden Fehlerseite mithilfe von XMLHttpRequest. Da es sich um eine Anfrage mit demselben Ursprung handelt, wird der Browser Sie nicht aufhalten. Auf dieser Seite würden Sie dies tun.” Haben Sie den Code hinter dem Link “Ich verstehe die Risiken”. “

Wie andere Antivirenprodukte verwendet Bitdefender während der Sitzungsdauer eine Reihe von Sicherheitstoken. Diese Werte sind jedoch fest codiert und können sich nicht ändern.

Darüber hinaus bieten die Funktionen “Sichere Suche” und “Sicheres Banking” der Komponente keinen zusätzlichen Schutz. “Wie sich herausstellt, verwenden alle Funktionen dieselben BDNDSS_B67EA559F21B487F861FDA8A44F01C50- und BDNDCA_BBACF84D61A04F9AA66019A14B035478-Werte, aber Safe Search und Safe Banking implementieren keinen zusätzlichen Schutz . “

Was noch schlimmer ist, die bösartige Seite eines Angreifers kann dieselben Sicherheitstoken verwenden, um eine AJAX-Anfrage zu stellen, die beliebige Codes auf dem Gerät des Benutzers ausführt. Die Anforderung enthält dasselbe Token, das während der Safepay Safe Banking-Sitzung verwendet wird, und enthält auch die Nutzdaten, mit denen die Eingabeaufforderung auf dem Computer gestartet wird, während der Befehl “whoami” ausgeführt wird.

Nach der Veröffentlichung von Patches für betroffene Benutzer erinnern solche Sicherheitslücken an Fehler, die trotz bester Absichten auftreten können, z. B. bei der Bereitstellung einer sicheren Browserumgebung. Wenn man beim Spielen von Man-in-the-Middle nicht besonders sicher ist, ist es wahrscheinlich eine gute Idee, verschlüsselte Verbindungen in Ruhe zu lassen.

Darüber hinaus hat Bitdefender ein automatisches Update veröffentlicht, mit dem diese Sicherheitsanfälligkeit in den Versionen 24.0.20.116 und höher behoben werden kann.