A API da Kaspersky é abusada por sites

As vulnerabilidades no software da Kaspersky deixaram uma API interna mal usada pelos webmasters e as tentativas de atualização do código falharam até agora.

Na segunda-feira, o desenvolvedor de software Wladimir Palant documentou o mito, que começou depois que ele começou a pesquisar as funções do Kaspersky Web Protection incluídas em softwares como o Kaspersky Internet Security 2019. A funcionalidade da proteção on-line inclui a verificação dos resultados da pesquisa para potencialmente eliminá-los. link malicioso e prevenção de monitoramento.

Em dezembro do ano passado, o desenvolvedor encontrou um conjunto de vulnerabilidades e problemas de segurança na função de proteção da Web que pode ser ativada por qualquer site.

Kaspersky

O Web Protection deve poder se comunicar com o aplicativo principal da Kaspersky e o preço de um valor secreto, teoricamente desconhecido nos domínios da web e capaz de garantir uma comunicação segura. No entanto, uma falha de segurança permitiu que os sites extraíssem essa chave “com bastante facilidade”, de acordo com Palant, “permitindo que eles criassem uma conexão com o aplicativo Kaspersky e enviassem comandos exatamente como a Proteção Web faria”.

As extensões do Chrome e Firefox usam mensagens nativas para recuperar a assinatura, enquanto o Internet Explorer lê injeções de script. Sem expandir o navegador, a Kaspersky importará seus scripts diretamente para os sites, e aqui veio a primeira vulnerabilidade CVE-2019-15685, através do abuso de URL Advisor e frames, para extrair a assinatura.

“Os sites podem usar essa vulnerabilidade, por exemplo, para desativar silenciosamente a funcionalidade de proteção de bloqueio e rastreamento de anúncios”, diz o desenvolvedor. “Eles também podiam fazer muitas coisas em que o impacto não era tão óbvio”.

Depois que o defeito foi mencionado, a Kaspersky desenvolveu uma solução em julho de 2019, bloqueando o acesso a determinadas funções nos sites dos produtos de 2020. No entanto, outros comandos podem ser aceitos, como sites da lista branca em bloqueadores de anúncios (CVE- 2019-15686). Um novo problema também surgiu devido à falha do patch: os sites tinham acesso aos dados do sistema do usuário, incluindo os únicos instaladores da Kaspersky em um computador (CVE-2019-15687).

Essa entrada inesperada de dados não foi o fim da história. Palant diz que o patch também introduziu uma nova vulnerabilidade que pode ser usada para causar uma falha no processo de tratamento de vírus, deixando sistemas vulneráveis ​​a invasões, como o CVE-2019-15686.

A operação de crimes cibernéticos tentou então corrigir a situação, resolvendo o vazamento de dados e “principalmente” determinando o problema da falha. os sites não poderiam mais causar “falhas”, mas as extensões do navegador ou aplicativos locais provavelmente poderiam.

Uma nova atualização de código foi desenvolvida e será lançada em 28 de novembro, mas com uma abordagem de backup de “injeção de script” em vez de depender apenas das extensões do navegador, com o desenvolvedor sem muita esperança de que o problema seja resolvido.