MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Phát hiện nhiều dòng laptop của HP có tích hợp Keylogger
Các nhà nghiên cứu từ hãng bảo mật Modzero (Thụy Sỹ) đã phát hiện một keylogger tích hợp trong trình điều khiển âm thanh của laptop HP, có khả năng theo dõi thao tác bàn phím của người dùng.
Các chip âm thanh của máy tính HP được sản xuất bởi hãng Conexant, một nhà sản xuất mạch tích hợp, đồng thời là nhà phát triển trình điều khiển Dubbed Conexant High-Definition (HD) Audio Driver cho các chíp âm thanh này. Với một số dòng máy tính, HP nhúng thêm một đoạn mã lệnh trong trình điều khiển âm thanh của Conexant để kiểm soát các phím đặc biệt, chẳng hạn như phím Media.
Keylogger được phát hiện không phải là một cuộc tấn công có chủ đích mà theo các nhà nghiên cứu, do đoạn mã của HP bị lỗi, nên trong quá trình thực hiện, nó không chỉ chặn các phím đặc biệt mà còn ghi lại hoạt động của tất cả các phím và lưu trong tệp tin dưới dạng rõ. Lỗi này được định danh là CVE-2017-8360. Tệp tin lưu các thao tác phím mà người dùng thao tác nằm tại thư mục C:\Users\Public\MicTray.log, có thể truy cập bởi bất kỳ người dùng hay ứng dụng nào được cài đặt trong máy tính. Vì thế, nếu mã độc lây nhiễm vào máy tính hoặc một người có quyền truy cập sẽ khai thác được những thông tin nhạy cảm như tài khoản ngân hàng, mật khẩu, lịch sử trò chuyện và mã nguồn (nếu chủ nhân của máy tính là lập trình viên).
Năm 2015, tính năng lưu lại các thao tác phím này hoạt động từ bản cập nhật 1.0.0.46 cho các trình điều khiển âm thanh HP và tồn tại trong gần 30 loại máy tính khác nhau của HP. Các dòng máy bị ảnh hưởng bao gồm dòng HP Elitebook 800, EliteBook Folio G1, các dòng HP ProBook 600 và 400....
Các nhà nghiên cứu cảnh báo rằng các nhà sản xuất khác dùng thiết bị và trình điều khiển của Conexant cũng có thể bị ảnh hưởng.
Cách kiểm tra và ngăn chặn
Một trong hai tệp tin sau kiểm tra máy tính nếu tồn tại thì rất có thể người dùng đang bị cài keylogger:
- C:\Windows\System32\MicTray64.exe
- C:\Windows\System32\MicTray.exe
Công ty Modzero khuyến cáo người dùng nên đổi tên, hay xoá các tệp trên để ngăn trình điều khiển âm thanh theo dõi và ghi lại mọi thao tác phím. Tuy tệp tin log được ghi đè sau mỗi lần đăng nhập nhưng nội dung của nó có thể bị theo dõi một cách dễ dàng bởi các tiến trình trong máy tính hay các công cụ điều tra số. Nếu người dùng sao lưu đĩa cứng theo kích thước tăng thêm (incremental) – dù lưu lên mây hay lưu vào đĩa cứng gắn ngoài - thì lịch sử tất cả các phím họ từng thao tác trong vài năm đều được lưu lại.
Các chip âm thanh của máy tính HP được sản xuất bởi hãng Conexant, một nhà sản xuất mạch tích hợp, đồng thời là nhà phát triển trình điều khiển Dubbed Conexant High-Definition (HD) Audio Driver cho các chíp âm thanh này. Với một số dòng máy tính, HP nhúng thêm một đoạn mã lệnh trong trình điều khiển âm thanh của Conexant để kiểm soát các phím đặc biệt, chẳng hạn như phím Media.
Keylogger được phát hiện không phải là một cuộc tấn công có chủ đích mà theo các nhà nghiên cứu, do đoạn mã của HP bị lỗi, nên trong quá trình thực hiện, nó không chỉ chặn các phím đặc biệt mà còn ghi lại hoạt động của tất cả các phím và lưu trong tệp tin dưới dạng rõ. Lỗi này được định danh là CVE-2017-8360. Tệp tin lưu các thao tác phím mà người dùng thao tác nằm tại thư mục C:\Users\Public\MicTray.log, có thể truy cập bởi bất kỳ người dùng hay ứng dụng nào được cài đặt trong máy tính. Vì thế, nếu mã độc lây nhiễm vào máy tính hoặc một người có quyền truy cập sẽ khai thác được những thông tin nhạy cảm như tài khoản ngân hàng, mật khẩu, lịch sử trò chuyện và mã nguồn (nếu chủ nhân của máy tính là lập trình viên).
Năm 2015, tính năng lưu lại các thao tác phím này hoạt động từ bản cập nhật 1.0.0.46 cho các trình điều khiển âm thanh HP và tồn tại trong gần 30 loại máy tính khác nhau của HP. Các dòng máy bị ảnh hưởng bao gồm dòng HP Elitebook 800, EliteBook Folio G1, các dòng HP ProBook 600 và 400....
Các nhà nghiên cứu cảnh báo rằng các nhà sản xuất khác dùng thiết bị và trình điều khiển của Conexant cũng có thể bị ảnh hưởng.
Cách kiểm tra và ngăn chặn
Một trong hai tệp tin sau kiểm tra máy tính nếu tồn tại thì rất có thể người dùng đang bị cài keylogger:
- C:\Windows\System32\MicTray64.exe
- C:\Windows\System32\MicTray.exe
Công ty Modzero khuyến cáo người dùng nên đổi tên, hay xoá các tệp trên để ngăn trình điều khiển âm thanh theo dõi và ghi lại mọi thao tác phím. Tuy tệp tin log được ghi đè sau mỗi lần đăng nhập nhưng nội dung của nó có thể bị theo dõi một cách dễ dàng bởi các tiến trình trong máy tính hay các công cụ điều tra số. Nếu người dùng sao lưu đĩa cứng theo kích thước tăng thêm (incremental) – dù lưu lên mây hay lưu vào đĩa cứng gắn ngoài - thì lịch sử tất cả các phím họ từng thao tác trong vài năm đều được lưu lại.
Nguyễn Anh Tuấn (theo The Hacker News, ATTT)