Na segunda-feira (25), o desenvolvedor de software Wladimir Palant informou vulnerabilidades no sistema da Kaspersky, que deixaram uma API interna aberta. Ele documentou sua investigação de recursos do Kaspersky Web Protection incluídos em diversos softwares da empresa. A funcionalidade da proteção online inclui varreduras de resultados de pesquisa para eliminar links potencialmente maliciosos, bloqueio de anúncios e prevenção de rastreamento.
No entanto, um erro no sistema de segurança permitiu que sites obtivessem o acesso com “bastante facilidade”, descreveu o desenvolvedor. Assim, eles estabeleciam uma conexão com o aplicativo e enviavam comandos como se fossem o ‘Web Protection”. Como destacou Palant, a ferramenta de proteção precisa se comunicar com o aplicativo Kaspersky principal e um valor de assinatura “secreto”, pois dessa forma garante a comunicação segura.
Vulnerabilidades
As extensões do Chrome e Firefox usam mensagens nativas para recuperar a assinatura, enquanto o Internet Explorer lê injeções de script. Sem uma extensão do navegador, a Kaspersky injeta seus scripts diretamente nas páginas da web, onde foi encontrada a primeira vulnerabilidade, CVE-2019-15685.
“Os sites podem usar essa vulnerabilidade, por exemplo, para desativar silenciosamente a funcionalidade de proteção de bloqueio de anúncios e rastreamento”, explicou o desenvolvedor. “Eles também podiam fazer algumas coisas em que o impacto não era tão óbvio”.
Após o erro ser comunicado, a Kaspersky desenvolveu uma correção em julho de 2019. A empresa bloqueou o acesso de algumas funcionalidades dos sites em produtos 2020, mas outros comandos ainda podem ser aceitos, como sites da lista de permissões em bloqueadores de anúncios (CVE-2019-15686). Além disso, devido à falha do patch, eles conseguiram acessar os dados de sistema do usuário, incluindo identificadores exclusivos da instalação em um PC (CVE-2019-15687).
“Quando experimentei o novo Kaspersky Internet Security 2020, extrair o segredo dos scripts injetados ainda era trivial e o principal desafio era adaptar meu código de prova de conceito às mudanças na convenção de chamada da API”, afirmou Palant. “Francamente, não posso culpar os desenvolvedores da Kaspersky por nem tentarem – acho que defender seus scripts em um ambiente que eles não podem controlar é uma causa perdida”.
Além do vazamento de dados, Palant informou que o patch também introduziu uma nova vulnerabilidade que poderia ser usada para acionar uma falha no processo antivírus. Isso deixou os sistemas vulneráveis a comprometimentos, rastreados assim como o CVE-2019-15686.
Correções
A empresa de segurança cibernética resolveu o vazamento de dados e corrigiu o problema de falha. Logo, os sites se tornaram incapazes de acionar uma vulnerabilidade, mas as extensões do navegador ou aplicativos locais possivelmente ainda podem. Um novo patch foi desenvolvido e será disponibilizado em 28 de novembro.
“Talvez a Kaspersky esteja muito apegada aos scripts injetados diretamente nas páginas da web, porque esses são considerados um recurso distintivo de seu produto, podendo fazer seu trabalho mesmo que os usuários se recusem a instalar extensões”, afirmou o desenvolvedor. “Mas esse recurso também é um risco à segurança e não parece ser reparável”, completou.
Palant não se mostrou esperançoso com as correções e ainda alertou os usuários. “Uma coisa não muda: os sites ainda podem enviar comandos para os aplicativos da Kaspersky. Toda a funcionalidade que eles podem desencadear lá é inofensiva? Eu não apostaria nisso”.
Um porta-voz da empresa comunicou ao ZD Net que o problema foi corrigido, e pode ser necessária uma reinicialização para aplicar as atualizações recomendadas. “A Kaspersky corrigiu problemas de segurança no componente de proteção da web em seus produtos e extensões para o Google Chrome. Esses problemas de segurança foram corrigidos pelos patches 2019 I, J e 2020 E, F, que foram entregues aos usuários através dos procedimentos de atualização automática”, informou a companhia.
“Para isso, pode ser necessária uma reinicialização para aplicar as atualizações. A empresa também recomenda que os usuários garantam que as extensões de proteção para navegadores estejam instaladas e ativadas”, indicaram.
Via: ZD NET
Tags: