BitDefenderがバグを修正する間、ハッカーはコマンドの実行を許可します

セキュリティソリューションは主に組織の安全を確保するために設計されていますが、同じソフトウェアがサイバー犯罪者が悪用する脅威ベクトルになると、これらのモデルは崩壊します。このような場合、新しいBitDefenderリモートコード実行の脆弱性がCVE-202-8102と呼ばれ、Safepayブラウザーコンポーネントに潜んでいます。

勧告により、「Bitdefender Total Security 2020のSafepayブラウザーコンポーネントに不適切な入力検証の脆弱性があるため、特別に細工された外部のWebページがSafepayユーティリティプロセス内でリモートコマンドを実行できるようになります。この問題は、24.0.20.116より前のBitdefender Total Security 2020バージョンに影響します、」

Bitdefender RCEの脆弱性

セキュリティブロガーであり、Adblock Plus拡張機能の最初の開発者であるWladimir Palantによる開示により、Btidefenderが無効な証明書から人々を保護する方法に脆弱性が発見されました。したがって、ソリューションの一部として、中間者として機能し、安全なHTTPS接続を検査します。この動作は主にすべてのウイルス対策ベンダーによって使用され、一般にWeb保護、セーフサーチなどと呼ばれます。

その後、無効なSSL証明書が提示されたら、警告付きの証明書を受け入れるか、別の場所に移動するためのオプションをユーザーに渡します。ユーザーはHSTS警告を無視することを選択し、通常は主な問題ではない自分のリスクで続行する必要があります。

Palantは、ブラウザのアドレスバーのURL自体が一定のままであるという興味深いことに言及しています。このトリックは、悪意のある可能性のあるページと、同じサーバーでホストされ、BitdefenderのSafepay仮想ブラウジング環境内で実行されている他のWebサイトとの間でアプリケーションを共有するために使用されます。

パラント氏によれば、「ブラウザのアドレスバーのURLは変更されません。ブラウザに関する限り、このエラーページはWebサーバーで発生したものであり、同じサーバーの他のWebページがアクセスしてはならない理由はありません。セキュリティトークンが含まれていても、Webサイトはそれらを読み取ることができます。これは、以前カスペルスキー製品で見られた問題です。」

証明書が切り替えられた後、SSLエラーページをダウンロードするためにAJAX要求が行われました。同じ起源が維持されていると感じた場合にこのリクエストを許可するブラウザには当然同じことが当てはまります。

パラント氏は、「これにより、ブラウザに悪意のあるページをロードし、無効な証明書に切り替え、XMLHttpRequestを使用して、結果のエラーページをダウンロードすることができました。これは同じ生成元のリクエストであるため、ブラウザはあなたを停止しません。そのページでは、 「リスクを理解しています」リンクの背後にあるコードを持っている」

他のウイルス対策製品と同様に、Bitdefenderはセッションの期間中、一連のセキュリティトークンを使用します。ただし、これらの値はハードコードされており、変更できません。

さらに、コンポーネントのセーフサーチとセーフバンキング機能は追加の保護を追加しません。「結局のところ、すべての機能は同じBDNDSS_B67EA559F21B487F861FDA8A44F01C50とBDNDCA_BBACF84D61A04F9AA66019A14B035478の値を使用しますが、セーフサーチとセーフバンキングはそれ以上の保護を実装しません。 」

さらに悪いことに、攻撃者の悪意のあるページは同じセキュリティトークンを使用して、ユーザーのデバイス上で任意のコードを実行するAJAXリクエストを行うことができます。リクエストには、Safepay Safe Bankingセッション中に使用されているものと同じトークンが含まれ、「whoami」コマンドの実行中にコンピューターでコマンドプロンプトを起動するペイロードも含まれています。

影響を受けるユーザーにパッチをリリースした後、このような脆弱性は、安全なブラウジング環境を提供している間など、最善の意図にもかかわらず発生する可能性のある誤解を思い出させます。 Man-in-the-Middleをプレイするときに確信が持てない限り、暗号化された接続はそのままにしておくことをお勧めします。

さらに、Bitdefenderは、バージョン24.0.20.116以降でこの脆弱性を解決する自動アップデートをリリースしました。