Οι ευπάθειες στο λογισμικό της Kaspersky έχουν αφήσει ένα εσωτερικό API ανοιχτό σε κατάχρηση από webmasters και οι προσπάθειες για την ενημέρωση κώδικα έχουν αποτύχει μέχρι στιγμής.
Την Δευτέρα, ο προγραμματιστής λογισμικού Wladimir Palant τεκμηριώνει τον μύθο, ο οποίος ξεκίνησε αφού άρχισε να ερευνά τις λειτουργίες του Kaspersky Web Protection που περιλαμβάνονται σε λογισμικό όπως το Kaspersky Internet Security 2019. Η λειτουργικότητα της online προστασίας περιλαμβάνει σαρώσεις των αποτελεσμάτων αναζήτησης για την εξάλειψη δυνητικά κακόβουλων link, και την παρακολούθηση της πρόληψης.
Τον Δεκέμβριο του περασμένου έτους, ο προγραμματιστής βρήκε ένα σύνολο τρωτών σημείων και ζητημάτων ασφαλείας στη λειτουργία προστασίας του Web, τα οποία μπορούν να ενεργοποιηθούν από οποιονδήποτε website.
Το Web Protection πρέπει να είναι σε θέση να επικοινωνεί με την κύρια εφαρμογή Kaspersky και την τιμή ενός μυστικού value, η οποία θεωρητικά δεν είναι γνωστή στους web domains και έχει τη δυνατότητα να εξασφαλίσει ασφαλή επικοινωνία. Εντούτοις, ένα ελάττωμα ασφαλείας επέτρεψε στους ιστότοπους να αποσπάσουν αυτό το κλειδί “αρκετά εύκολα”, σύμφωνα με την Palant, και “να τους επιτρέψουν να δημιουργήσουν μια σύνδεση με την εφαρμογή Kaspersky και να στείλουν εντολές ακριβώς όπως θα κάνανε το Web Protection”.
Οι επεκτάσεις Chrome και Firefox χρησιμοποιούν εγγενή μηνύματα για την ανάκτηση της υπογραφής, ενώ ο Internet Explorer διαβάζει script injections. Χωρίς την επέκταση του προγράμματος περιήγησης, το Kaspersky θα εισάγει τα scripts του απευθείας στα website και εδώ εμφανίστηκε η πρώτη ευπάθεια CVE-2019-15685, μέσω της κατάχρησης του URL Advisor και των frames, προκειμένου να εξαχθεί η υπογραφή.
“Τα website θα μπορούσαν να χρησιμοποιήσουν αυτήν την ευπάθεια, για παράδειγμα, για να απενεργοποιήσουν σιωπηρά τη λειτουργικότητα προστασίας adblocking και παρακολούθησης”, λέει ο προγραμματιστής. “Θα μπορούσαν επίσης να κάνουν αρκετά πράγματα όπου ο αντίκτυπος δεν ήταν τόσο προφανής.”
Αφού αναφέρθηκε το ελάττωμα, η Kaspersky ανέπτυξε μια λύση τον Ιούλιο του 2019, εμποδίζοντας την πρόσβαση σε ορισμένες λειτουργίες σε δικτυακούς τόπους στα προϊόντα του 2020. Ωστόσο, θα μπορούσαν να γίνουν αποδεκτές και άλλες εντολές, όπως οι ιστοσελίδες με whitelisting στα adblockers (CVE-2019-15686). Ένα νέο ζήτημα προέκυψε επίσης λόγω του αποτυχημένου patch: τα website είχαν πρόσβαση στα δεδομένα του συστήματος χρηστών, συμπεριλαμβανομένων των μοναδικών αναγνωριστικών της εγκατάστασης Kaspersky σε υπολογιστή (CVE-2019-15687).
Αυτή η απροσδόκητη εισαγωγή δεδομένων δεν ήταν το τέλος της ιστορίας. Η Palant λέει ότι το patch εισήγαγε επίσης μια νέα ευπάθεια που θα μπορούσε να χρησιμοποιηθεί για να προκαλέσει μια συντριβή στη διαδικασία αντιμετώπισης ιών, αφήνοντας τα συστήματα ευάλωτα σε εισβολές, όπως το CVE-2019-15686.
Η επιχείρηση του κυβερνοχώρου επιχείρησε στη συνέχεια να επιδιορθώσει την κατάσταση, επιλύοντας τη διαρροή δεδομένων και “κυρίως” τον καθορισμό του προβλήματος των συντριβών. οι ιστότοποι δεν θα μπορούσαν πλέον να προκαλέσουν “crash”, αλλά οι επεκτάσεις του προγράμματος περιήγησης ή οι τοπικές εφαρμογές πιθανώς θα μπορούσαν.
Μια νέα ενημερωμένη έκδοση κώδικα έχει αναπτυχθεί και θα κυκλοφορήσει στις 28 Νοεμβρίου, αλλά με μια εφεδρική προσέγγιση “script injection” αντί να βασίζεται καθαρά στις επεκτάσεις του προγράμματος περιήγησης, με το προγραμματιστή να μην έχει πολλές ελπίδες ότι θα επιλυθεί το πρόβλημα.
