Os hackers permitem executar comandos enquanto o BitDefender corrige bugs

As soluções de segurança são projetadas principalmente para manter as organizações seguras e protegidas, mas esses modelos desmoronam quando o mesmo software se torna vetor de ameaça a ser explorado pelos criminosos cibernéticos. Nesse caso, a nova vulnerabilidade de execução remota de código do BitDefender apelidada de CVE-202-8102, espreita em seu componente do navegador Safepay.

Um comunicado revelou que “A vulnerabilidade de Validação imprópria de entrada no componente de navegador Safepay do Bitdefender Total Security 2020 permite que uma página externa especialmente criada para executar comandos remotos dentro do processo do Safepay Utility. Esse problema afeta as versões do Bitdefender Total Security 2020 anteriores a 24.0.20.116 , “

A vulnerabilidade do Bitdefender RCE

Divulgação de Wladimir Palant, blogueiro de segurança e desenvolvedor original da extensão Adblock Plus, foi descoberta a vulnerabilidade de como o Btidefender protege as pessoas contra certificados inválidos. Assim, como parte da solução, ele atua como o Man-in-the-Middle para inspecionar as conexões HTTPS. Esse comportamento é usado principalmente por todos os fornecedores de antivírus e geralmente chamado de proteção na Web, pesquisa segura etc.

Depois disso, quando for apresentado um certificado SSL inválido, passe a opção para o usuário para aceitar o certificado com os avisos ou navegar para longe. Os usuários devem optar por ignorar os avisos do HSTS e continuar por seu próprio risco, o que geralmente não é um problema principal.

O Palant observa coisas interessantes que o próprio URL nas barras de endereço do navegador permanece constante. Esse truque é usado para compartilhar os aplicativos entre páginas potencialmente maliciosas e quaisquer outros sites hospedados no mesmo servidor e em execução no ambiente de navegação virtual Safepay da Bitdefender.

De acordo com Palant, “O URL na barra de endereços do navegador não muda. Portanto, no que diz respeito ao navegador, essa página de erro teve origem no servidor da Web e não há razão para que outras páginas da Web do mesmo servidor não devam mudar. seja capaz de acessá-lo. Quaisquer que sejam os tokens de segurança, os sites podem lê-los – um problema que já vimos nos produtos Kaspersky “,

Após a troca do certificado, foi feita uma solicitação AJAX para baixar a página de erro SSL. O mesmo se aplica a qualquer navegador que, naturalmente, permita essa solicitação, caso a mesma origem seja mantida.

Palant explicou: “Isso permitiu carregar uma página mal-intencionada no navegador, alternar para um certificado inválido e usar XMLHttpRequest para baixar a página de erro resultante. Sendo uma solicitação de mesma origem, o navegador não o interromperá. Nessa página, você tem o código por trás do link ‘eu entendo os riscos’ “,

Como outros produtos antivírus, o Bitdefender usa um conjunto de tokens de segurança durante a duração da sessão. No entanto, esses valores são codificados e não podem ser alterados.

Além disso, o recurso Pesquisa Segura e Banco Seguro do componente não adiciona nenhuma proteção extra “, como se vê, toda a funcionalidade usa os mesmos valores BDNDSS_B67EA559F21B487F861FDA8A44F01C50 e BDNDCA_BBACF84D61A04F9AA66019A14B035478, mas a Proteção Segura e o Safe Banking não implementam valores adicionais . “

O que é pior, a página maliciosa de um invasor pode usar os mesmos tokens de segurança para fazer uma solicitação AJAX que executa códigos arbitrários no dispositivo do usuário. A solicitação contém o mesmo token usado durante a sessão Safepay Safe Banking e também inclui as cargas úteis que iniciam o prompt de comando no computador enquanto executa o comando “whoami”.

Após o lançamento de correções para os usuários afetados, vulnerabilidades como essa lembram os erros que podem ocorrer, apesar das melhores intenções, como por exemplo, ao fornecer um ambiente de navegação seguro. A menos que se tenha certeza absoluta ao jogar Man-in-the-Middle, provavelmente é uma boa ideia deixar as conexões criptografadas em paz.

Além disso, o Bitdefender lançou uma atualização automática que resolve esta vulnerabilidade nas versões 24.0.20.116 e posteriores.