HP Flaw cho phép tin tặc chiếm đoạt máy tính của bạn: Phải làm gì - Bài đánh giáExpert.net

Bạn có máy tính xách tay hoặc máy tính để bàn HP? Bạn sẽ muốn đảm bảo rằng nó có các bản vá phần mềm HP mới nhất.

Đó là bởi vì có một lỗ hổng nghiêm trọng trong các phiên bản cũ của Touchpoint Analytics, hay còn gọi là HP Device Health Service, một chương trình chẩn đoán được tích hợp trong hầu hết các PC HP chạy Windows. Người dùng hoặc chương trình có quyền quản trị có thể sử dụng Touchpoint Analytics để cài đặt phần mềm độc hại một cách âm thầm và vĩnh viễn ở cấp hệ thống và tài khoản người dùng hạn chế cũng có thể làm như vậy trong một số trường hợp nhất định.

HP đã khắc phục sự cố này với Touchpoint Analytics / HP Device Health Service phiên bản 4.1.4.2827 vào ngày 4 tháng 10, nhưng không phải tất cả người dùng HP có thể vẫn chưa nhận được bản cập nhật. Peleg Hadar của công ty bảo mật SafeBreach đã có một bài viết kỹ thuật chi tiết về lỗ hổng trong một bài đăng trên blog vào ngày hôm nay (10 tháng 10), mà chúng tôi tóm tắt bên dưới.

Làm thế nào để đảm bảo bạn an toàn

Có hai cách để kiểm tra và giải quyết vấn đề này - một nếu bạn có Windows 10 và một nếu bạn không có. Phương pháp thứ hai cũng hoạt động đối với Windows 10, nhưng phức tạp hơn một chút. Cả hai phương pháp đều yêu cầu bạn đăng nhập với tư cách quản trị viên.

Nếu bạn có Windows 10, hãy nhấp chuột phải vào biểu tượng Windows ở dưới cùng bên trái của màn hình và chọn Trình quản lý thiết bị. Cuộn xuống và mở rộng phần Thành phần phần mềm. Nhấp chuột phải vào Dịch vụ Sức khỏe Thiết bị HP và chọn Thuộc tính. Chọn tab Trình điều khiển và xem bạn có phiên bản Dịch vụ sức khỏe thiết bị HP nào.

Bạn muốn có phiên bản 4.1.4.2827. Nếu nó thấp hơn, thì bạn muốn kích hoạt Windows Update để tải xuống và cài đặt phiên bản chính xác.

Nhấp vào biểu tượng Windows ở dưới cùng bên trái của màn hình và chọn biểu tượng Cài đặt - biểu tượng này trông giống như một bánh xe đạp. Nhấp vào Cập nhật & Bảo mật, sau đó nhấp vào Windows Update nếu cần, sau đó nhấp vào nút Kiểm tra cập nhật lớn. Windows sẽ lo phần còn lại.

XEM THÊM: Máy tính xách tay HP tốt nhất

Nếu bạn có phiên bản Windows cũ hơn, hãy nhấp vào biểu tượng Windows ở dưới cùng bên trái của màn hình, bật lên menu Bắt đầu và chọn Bảng điều khiển. Bạn cũng có thể chỉ cần gõ Control Panel vào trường tìm kiếm. Tìm và chọn Chương trình và / hoặc Chương trình và Tính năng. Bạn cũng có thể phải chọn Gỡ cài đặt chương trình. Tìm HP Touchpoint Analytics Client và xem số phiên bản nào được liệt kê bên cạnh nó.

Một lần nữa, bạn muốn có phiên bản 4.1.4.2827. Nếu nó thấp hơn, bạn sẽ phải cập nhật nó. Rất tiếc, Windows Update sẽ không thực hiện việc này cho bạn trong phiên bản trước Windows 10, vì vậy bạn phải sử dụng một công cụ khác.

Quay lại phía dưới cùng bên trái của màn hình và nhập Công cụ quản trị. Trong cửa sổ Công cụ quản trị, bấm đúp vào Bộ lập lịch tác vụ. Nhấp chuột phải vào Trình cập nhật TechPulse và chọn Chạy.

Đi xuống sai PATH

Vấn đề ở đây phát sinh do Touchpoint Analytics / HP Device Health Service sử dụng phần mềm nguồn mở có tên Open Hardware Monitor để truy cập các thành phần cấp thấp của PC như bộ nhớ vật lý và phân vùng đĩa ẩn. (Bạn có thể tải xuống và cài đặt Open Hardware Monitor cho chính mình tại đây.)

Open Hardware Monitor không chỉ định vị trí của một số kho mã nhất định được gọi là thư viện liên kết động hoặc DLL và không xác minh nội dung của chính các DLL. Điều này có ý nghĩa đối với một tiện ích Windows có thể áp dụng rộng rãi, nhưng khi tiện ích đó được sử dụng lại như một chương trình chẩn đoán với các đặc quyền hệ thống sâu, những điều tồi tệ có thể xảy ra.

Khi Touchpoint Analytics khởi động, nó sẽ tìm kiếm các DLL liên quan đến nhiều loại phần cứng có thể có trên PC, bao gồm cả các thẻ video của bên thứ ba từ AMD / ATI và Nvidia. Nó tìm kiếm một số thư mục hoặc đường dẫn tệp có khả năng cho các DLL này.

Các đường dẫn tệp đó được chỉ định bởi một "biến môi trường" trên toàn hệ thống được gọi là PATH cho Touchpoint Analytics (và nhiều ứng dụng Windows khác) biết nơi tìm DLL và các tệp thực thi khác.

Nhưng nếu máy tính không có card màn hình của bên thứ ba, thì các tệp DLL thích hợp sẽ không được tìm thấy hoặc tải. Các nhà nghiên cứu từ công ty bảo mật SafeBreach nhận thấy họ có thể tạo các phiên bản giả mạo của AMD / ATI và Nvidia DLL, sửa đổi biến môi trường PATH trên toàn hệ thống để thêm các thư mục mới mà họ sẽ đặt các DLL không có thật và để Touchpoint Analytics chọn và tải các trò lừa đảo Các tệp DLL.

Loại chuyển mạch DLL này được biết đến như một DLL injection và nó làm cho một chương trình thực hiện những điều không nên. Các game thủ PC đôi khi sử dụng DLL injection để gian lận trong trò chơi và các hacker độc hại có thể sử dụng nó để làm cho một chương trình chạy mã độc. (DLL injection hoạt động trên Mac và hệ thống Unix / Linux cũng như trên Windows.)

Vì Touchpoint Analytics chạy ở cấp hệ thống nên nó có thể làm bất cứ điều gì trên hệ thống Windows - có nghĩa là bất kỳ phần mềm độc hại nào được tải vào nó thông qua DLL injection cũng có thể làm được.

Vậy tại sao chúng ta lại quan tâm? Tại vì…

Điểm bắt buộc là trên máy HP Windows tiêu chuẩn sử dụng biến PATH mặc định, không có biến nào trong số này là khả thi trừ khi bạn đã có đặc quyền quản trị. Nhưng tất nhiên, nếu bạn đã có đặc quyền quản trị, thì bạn vẫn có thể cài đặt phần mềm độc hại. Vì vậy, bạn có thể tự hỏi phản đối là gì.

Trả lời câu hỏi từ Laptop, Hadar nói rằng phạm vi của lỗ hổng "phụ thuộc vào biến môi trường PATH của hệ điều hành của nạn nhân."

Nói cách khác, nếu một máy tình cờ có các sửa đổi hiện có đối với biến môi trường PATH, thì Touchpoint Analytics hoặc triển khai Open Hardware Monitor trên các hệ thống khác có thể tải các tệp DLL độc hại từ các thư mục không thuộc hệ thống. Điều đó sẽ cho phép người dùng có đặc quyền hạn chế hoặc phần mềm độc hại được cài đặt bởi tài khoản của một người dùng hạn chế, đưa vào một DLL độc hại ở cấp hệ thống.

Hadar nói với chúng tôi: "Chúng tôi đã thấy một số trường hợp lỗ hổng này có thể được khai thác bởi người dùng không phải quản trị viên, vì một thư mục cụ thể trong PATH có thể được ghi bởi người không phải quản trị viên".

Hadar và SafeBreach đã tìm thấy một lỗ hổng tương tự vào đầu năm nay trên các máy Dell cũng do dịch vụ chẩn đoán sử dụng phần mềm của bên thứ ba gây ra.

Tín dụng hình ảnh: ReviewsExpert.net