Los hackers permiten ejecutar comandos mientras BitDefender corrige errores

Las soluciones de seguridad están diseñadas principalmente para mantener a las organizaciones seguras, pero esos modelos se desmoronan cuando el mismo software se convierte en un vector de amenaza para que los ciberdelincuentes los exploten. En tal caso, la nueva vulnerabilidad de ejecución remota de código de BitDefender se denominó CVE-202-8102, al acecho en su componente de navegador Safepay.

Un aviso reveló que “La vulnerabilidad de validación de entrada incorrecta en el componente del navegador Safepay de Bitdefender Total Security 2020 permite que una página web externa especialmente diseñada ejecute comandos remotos dentro del proceso Safepay Utility. Este problema afecta a las versiones de Bitdefender Total Security 2020 anteriores a 24.0.20.116 , “

La vulnerabilidad de Bitdefender RCE

La revelación de Wladimir Palant, un blogger de seguridad y desarrollador original de la extensión Adblock Plus, descubrió la vulnerabilidad de cómo Btidefender protege a las personas de los certificados no válidos. Por lo tanto, como parte de la solución, actúa como Man-in-the-Middle para inspeccionar las conexiones HTTPS seguras. Este comportamiento es utilizado principalmente por todos los proveedores de antivirus y comúnmente se conoce como Protección web, Búsqueda segura, etc.

Después de eso, cuando se le presente un certificado SSL no válido, pase la opción al usuario para aceptar el certificado con las advertencias o para irse. Los usuarios deben optar por ignorar las advertencias de HSTS y proceder bajo su propio riesgo, que generalmente no es un problema principal.

El Palant señala cosas interesantes que la propia URL en las barras de direcciones del navegador permanece constante. Este truco se utiliza para compartir las aplicaciones entre páginas potencialmente maliciosas y otros sitios web alojados en el mismo servidor y que se ejecutan en el entorno de navegación virtual Safepay de Bitdefender.

Según Palant, “La URL en la barra de direcciones del navegador no cambia. En lo que respecta al navegador, esta página de error se originó en el servidor web y no hay ninguna razón por la cual otras páginas web del mismo servidor no deberían poder acceder a él. Independientemente de los tokens de seguridad que contenga, los sitios web pueden leerlos, un problema que hemos visto en los productos de Kaspersky antes “.

Después de cambiar el certificado, se realizó una solicitud AJAX para descargar la página de error SSL. Lo mismo se aplica en cualquier navegador de forma natural que permita esta solicitud si siente que se mantiene el mismo origen.

Palant explicó: “Esto permitió cargar una página maliciosa en el navegador, cambiar a un certificado no válido y usar XMLHttpRequest para descargar la página de error resultante. Al tratarse de una solicitud del mismo origen, el navegador no lo detendrá. En esa página tener el código detrás del enlace ‘Entiendo los riesgos’ “

Al igual que otros productos antivirus, Bitdefender utiliza un conjunto de tokens de seguridad durante la duración de la sesión. Sin embargo, estos valores están codificados y no pueden cambiar.

Además, la función Safe Search y Safe Banking del componente no agrega ninguna protección adicional, “Resulta que todas las funcionalidades usan los mismos BDNDSS_B67EA559F21B487F861FDA8A44F01C50 y BDNDCA_BBACF84D61A04F9AA66019A14B035478, pero no implementan los valores Safe Search y Safe Banking más allá de eso. “.

Lo que es peor, la página maliciosa de un atacante puede usar los mismos tokens de seguridad para hacer una solicitud AJAX que ejecuta códigos arbitrarios en el dispositivo del usuario. La solicitud contiene el mismo token que se está utilizando durante la sesión de Safepay Safe Banking y también incluye las cargas útiles que inician el símbolo del sistema en la computadora mientras se ejecuta el comando “whoami”.

Después de lanzar parches a los usuarios afectados, las vulnerabilidades como esta son un recordatorio de errores que pueden ocurrir a pesar de las mejores intenciones, como al proporcionar un entorno de navegación seguro. A menos que uno esté súper seguro cuando juegue Man-in-the-Middle, es probable que sea una buena idea dejar solo las conexiones cifradas.

Además, Bitdefender lanzó una actualización automática que resuelve esta vulnerabilidad en las versiones 24.0.20.116 y posteriores.