Les pirates permettent d’exécuter des commandes tandis que BitDefender corrige des bugs

Les solutions de sécurité sont principalement conçues pour assurer la sécurité des entreprises, mais ces modèles s’effondrent lorsque le même logiciel devient un vecteur de menace à exploiter par les cybercriminels. Dans ce cas, la nouvelle vulnérabilité d’exécution de code à distance de BitDefender surnommée CVE-202-8102, se cache dans son composant de navigateur Safepay.

Un avis a révélé que «la vulnérabilité de validation d’entrée incorrecte dans le composant de navigateur Safepay de Bitdefender Total Security 2020 permet à une page Web externe spécialement conçue d’exécuter des commandes à distance dans le processus de l’utilitaire Safepay. Ce problème affecte les versions de Bitdefender Total Security 2020 antérieures au 24.0.20.116 « 

La vulnérabilité de Bitdefender RCE

Divulgation par Wladimir Palant, un blogueur de sécurité et le développeur d’origine de l’extension Adblock Plus, la vulnérabilité a été découverte comment Btidefender protège les gens contre les certificats invalides. Ainsi, en tant que partie de la solution, il agit comme un homme au milieu pour inspecter les connexions HTTPS sécurisées. Ce comportement est principalement utilisé par tous les fournisseurs d’antivirus et communément appelé protection Web, recherche sécurisée, etc.

Après cela, lorsqu’il est présenté avec un certificat SSL non valide, passez l’option à l’utilisateur afin d’accepter le certificat avec les avertissements ou de naviguer. Les utilisateurs doivent choisir d’ignorer les avertissements HSTS et de procéder à leurs propres risques, ce qui n’est généralement pas un problème majeur.

Le Palant note des choses intéressantes que l’URL elle-même dans les barres d’adresse du navigateur reste constante. Cette astuce est utilisée pour partager les applications entre des pages potentiellement malveillantes et tout autre site Web hébergé sur le même serveur et exécuté dans l’environnement de navigation virtuelle Safepay de Bitdefender.

Selon Palant, « L’URL dans la barre d’adresse du navigateur ne change pas. Donc, en ce qui concerne le navigateur, cette page d’erreur provient du serveur Web et il n’y a aucune raison pour que les autres pages Web du même serveur ne changent pas. quels que soient les jetons de sécurité qu’il contient, les sites Web peuvent les lire – un problème que nous avons déjà vu dans les produits Kaspersky, « 

Après le changement de certificat, une demande AJAX a été faite pour télécharger la page d’erreur SSL. La même chose s’applique naturellement à tout navigateur qui permet cette demande si elle sent que la même origine est maintenue.

Palant a expliqué: « Cela a permis de charger une page malveillante dans le navigateur, de passer ensuite à un certificat non valide et d’utiliser XMLHttpRequest pour télécharger la page d’erreur résultante. Il s’agit d’une demande de même origine, le navigateur ne vous arrêtera pas. Dans cette page, vous avoir le code derrière le lien « Je comprends les risques », « 

Comme d’autres produits antivirus, Bitdefender utilise un ensemble de jetons de sécurité pendant la durée de la session. Cependant, ces valeurs sont codées en dur et ne peuvent pas changer.

De plus, la fonctionnalité Safe Search et Safe Banking du composant n’ajoute aucune protection supplémentaire.  » . « 

Pire encore, la page malveillante d’un attaquant peut utiliser les mêmes jetons de sécurité pour effectuer une requête AJAX qui exécute des codes arbitraires sur l’appareil de l’utilisateur. La demande contient le même jeton que celui utilisé pendant la session Safepay Safe Banking et inclut également les charges utiles qui lancent l’invite de commande sur l’ordinateur lors de l’exécution de la commande «whoami».

Après avoir publié des correctifs pour les utilisateurs concernés, des vulnérabilités comme celle-ci rappellent les erreurs qui peuvent se produire malgré les meilleures intentions, notamment en fournissant un environnement de navigation sécurisé. À moins que l’on ne soit super sûr lors de la lecture de Man-in-the-Middle, il est donc probablement une bonne idée de laisser les connexions cryptées seules.

De plus, Bitdefender a sorti une mise à jour automatique qui corrige cette vulnérabilité dans les versions 24.0.20.116 et ultérieures.