Avast AntiTrack反跟踪软件漏洞(CVE-2020-8987)技术分析报告

Avast AntiTrack反跟踪软件漏洞(CVE-2020-8987)技术分析报告 漏洞概述 漏洞编号 : CVE-2020-8987 发现时间 : 2020年3月9日 报告者 : 安全专家David Eade 影响产品 : Avast AntiTrack 1.5.1.172之前版本 AVG AntiTrack 2.0.0.178之前版本 漏洞类型 : 证书验证问题 风险等级 : 高危 潜在影响 : 中间人攻击(MITM) 浏览器会话劫持 敏感数据泄露 绕过双因素认证(2FA) 技术细节分析 1. 证书信任机制缺陷 工作流程 : 安装过程中，软件将"AvastAntiTrack2"证书添加到Windows"受信任的根证书颁发机构"存储区 用户访问HTTPS站点时，软件通过代理转发流量 为每个访问的网站创建新证书并提交给浏览器 浏览器显示安全挂锁图标，但实际与终端服务器的连接不安全 漏洞本质 : 应用程序未验证提交给终端服务器的证书合法性 允许攻击者使用自签名恶意证书实施中间人攻击 2. TLS协议降级问题 关键发现 : 强制将浏览器安全协议降级到TLS 1.0 即使web服务器支持TLS 1.2，仍建立TLS 1.0连接 绕过机制 : IE/Edge可配置为仅使用TLS 1.2+ Avast AntiTrack忽略此设置，强制使用TLS 1.0 无论服务器是否支持TLS 1.0，都优先建立TLS 1.0连接 3. 前向安全性缺失 加密套件问题 : 支持许多已被认为有缺陷的老旧加密套件 忽略Microsoft对IE/Edge的加密套件更新 不遵守现代加密标准 攻击场景分析 中间人攻击流程 攻击者设置恶意代理服务器 拦截受害者HTTPS流量 使用自签名证书绕过验证 记录用户凭据和会话数据 会话劫持流程 受害者正常登录网站(即使有2FA) 攻击者克隆会话cookies 劫持存活的会话 完全绕过身份验证机制 影响范围评估 受影响功能 所有通过Avast AntiTrack代理的HTTPS流量 所有浏览器会话 包括银行、邮箱等高敏感度网站 潜在危害 凭据窃取 金融欺诈 身份盗用 数据泄露 解决方案 官方修复 升级到Avast AntiTrack 1.5.1.172或更高版本 升级到AVG AntiTrack 2.0.0.178或更高版本 临时缓解措施 卸载受影响版本的反跟踪软件 从Windows证书存储中移除"AvastAntiTrack2"根证书 强制浏览器使用TLS 1.2+: IE/Edge: 在Internet选项中禁用TLS 1.0/1.1 使用组策略强制执行 监控异常网络活动 防御建议 企业防护策略 在网络边界检测和阻止TLS 1.0流量 部署证书透明度监控 实施严格的证书钉扎策略 加强会话管理: 使用短期会话令牌 实施IP绑定 用户最佳实践 定期检查系统根证书 使用证书监控工具 避免在公共网络使用反跟踪软件 对敏感操作使用独立设备 后续行动建议 受影响用户应立即更新软件 检查是否有异常证书安装 重置可能已泄露的凭据 监控账户异常活动 考虑替代的隐私保护方案 技术参考 相关标准 : RFC 5246 (TLS 1.2) RFC 8446 (TLS 1.3) NIST SP 800-52 (TLS实施指南) 安全建议 : 禁用TLS 1.0/1.1 (PCI DSS 3.2要求) 优先使用前向安全加密套件 实施严格的证书验证机制