Gli hacker consentono l’esecuzione di comandi mentre BitDefender corregge i bug

Le soluzioni di sicurezza sono progettate principalmente per mantenere le organizzazioni sicure e protette, ma quei modelli si sgretolano quando lo stesso software diventa vettore di minacce che i cyber criminali possono sfruttare. In tal caso, la nuova vulnerabilità legata all’esecuzione di codice in modalità remota BitDefender è stata soprannominata CVE-202-8102, in agguato nel suo componente del browser Safepay.

Un avviso ha rivelato che “La vulnerabilità di convalida dell’input non corretta nel componente del browser Safepay di Bitdefender Total Security 2020 consente a una pagina Web esterna appositamente predisposta per eseguire comandi remoti all’interno del processo dell’utilità Safepay. Questo problema riguarda le versioni di Bitdefender Total Security 2020 precedenti alla 24.0.20.116 ,”

La vulnerabilità di Bitdefender RCE

Divulgazione di Wladimir Palant, un blogger di sicurezza e lo sviluppatore originale dell’estensione Adblock Plus, è stata scoperta la vulnerabilità di come Btidefender protegge le persone da certificati non validi. Pertanto, come parte della soluzione, funge da Man-in-the-Middle per ispezionare le connessioni HTTPS. Questo comportamento viene utilizzato principalmente da tutti i fornitori di antivirus e comunemente indicato come protezione Web, ricerca sicura ecc.

Dopodiché, quando viene presentato con un certificato SSL non valido, passare l’opzione all’utente per accettare il certificato con gli avvisi o per allontanarsi. Gli utenti dovrebbero scegliere di ignorare gli avvisi HSTS e procedere a proprio rischio, che di solito non è un problema principale.

Il Palant nota cose interessanti che l’URL stesso nelle barre degli indirizzi del browser rimane costante. Questo trucco viene utilizzato per condividere le applicazioni tra pagine potenzialmente dannose e qualsiasi altro sito Web ospitato sullo stesso server e in esecuzione all’interno dell’ambiente di navigazione virtuale di Bitdefender Safepay.

Secondo Palant, “L’URL nella barra degli indirizzi del browser non cambia. Per quanto riguarda il browser, questa pagina di errore ha avuto origine sul server Web e non vi è alcun motivo per cui altre pagine Web dallo stesso server non dovrebbero essere in grado di accedervi. Qualunque sia il token di sicurezza contenuto al suo interno, i siti Web possono leggerli – un problema che abbiamo già visto nei prodotti Kaspersky “,

Dopo il passaggio del certificato, è stata effettuata una richiesta AJAX per scaricare la pagina di errore SSL. Lo stesso vale per qualsiasi browser che consenta naturalmente questa richiesta se viene mantenuta la stessa origine.

Palant ha spiegato: “Ciò ha permesso di caricare una pagina dannosa nel browser, passare a un certificato non valido e quindi utilizzare XMLHttpRequest per scaricare la pagina di errore risultante. Trattandosi di una richiesta della stessa origine, il browser non ti fermerà. In quella pagina avere il codice dietro il link “Comprendo i rischi”, “

Come altri prodotti antivirus, Bitdefender utilizza una serie di token di sicurezza durante la durata della sessione. Tuttavia, questi valori sono codificati e non possono essere modificati.

Inoltre, la funzione Safe Search e sicuro Banking del componente non aggiungere alcun protezioni aggiuntive, “Come si è visto, tutte le funzionalità utilizza gli stessi valori BDNDSS_B67EA559F21B487F861FDA8A44F01C50 e BDNDCA_BBACF84D61A04F9AA66019A14B035478, ma Safe Search e sicuro di operazioni bancarie non implementa alcuna protezione aggiuntiva oltre quella “.

Quel che è peggio, la pagina dannosa di un utente malintenzionato può utilizzare gli stessi token di sicurezza per effettuare una richiesta AJAX che esegue codici arbitrari sul dispositivo dell’utente. La richiesta contiene lo stesso token utilizzato durante la sessione Safepay Safe Banking e include anche i payload che avviano il prompt dei comandi sul computer durante l’esecuzione del comando “whoami”.

Dopo aver rilasciato le patch per gli utenti interessati, vulnerabilità come questa sono un promemoria degli errori che possono verificarsi nonostante le migliori intenzioni come nel fornire un ambiente di navigazione sicuro. A meno che uno non sia estremamente sicuro quando si gioca a Man-in-the-Middle, quindi è probabilmente una buona idea lasciare da sole le connessioni crittografate.

Inoltre, Bitdefender ha rilasciato un aggiornamento automatico che risolve questa vulnerabilità nelle versioni 24.0.20.116 e successive.