Mã độc Superfish xuất hiện trong máy tính DELL

malware-logoXuất hiện trong máy tính xách tay Lenovo hồi tháng 2, Dell cũng phát hiện các máy tính để bàn và  xách tay bị cài đặt sẵn với một chứng chỉ SSL giả mạo tạo điều kiện cho attacker có thể làm giả trang web được mã hóa HTTPS và tiếp cận người dùng khi hoạt động giao dịch trực tuyến

 

 

Chứng chỉ giả mạo, được đặt tên là eDellRoot, lần đầu tiên được phát hiện vào cuối tuần qua bởi một lập trình phần mềm tên Joe Nord. Điều đáng lo là nó sẽ tự động tái cài đặt chính nó thậm chí sau khi đã gỡ ra khỏi hệ điều hành Windows.

Superfish 2.0 hoạt động thế nào?

Superfish là chương trình phần mềm quảng cáo xâm hại, được cài đặt sẵn, đưa quảng cáo của bên thứ ba vào trang web trên trình duyệt.

Giao thức TLS được cài đặt sẵn như một cài đặt gốc trên máy tính Dell với cùng khóa mật mã riêng, được lưu trữ cục bộ. Điều đó có nghĩa là kẻ tấn công với khả năng bình thường cũng có thể mở khóa và sử dụng nó để đưa phiên bản giả mạo chứng chỉ TLS vào bất kỳ trang web mã hóa HTTPS nào trên Internet, sau đó thực hiện tấn công SSL để lấy thông tin người dùng.

Chứng chỉ chính được sử dụng để tiến hành tấn công MITM (man-in-the-middle) vào người dùng máy Dell, âm thầm ăn cắp tên người dùng, mật khẩu, phiên cookie, và các thông tin nhạy cảm khác khi máy Dell bị ảnh hưởng được kết nối vào mạng Wi-Fi nguy hiểm tại các quán cà phê, bệnh viện, sân bay.

Mặc dù trường hợp của Dell chưa có dấu hiệu cho thấy các chứng chỉ đang được sử dụng để đưa quảng cáo vào máy tính xách tay của người dùng nhưng vấn đề bảo mật là đáng lo ngại.

Những loại máy tính Dell bị ảnh hưởng

Superfish được phát hiện đã cài đặt sẵn trên ít nhất ba mẫu máy tính xách tay của Dell:

  • Dell Inspiron 5000 bản notebook
  • Dell XPS 15
  • Dell XPS 13

Chứng chỉ nguy hiểm có thể đã có trong lượng lớn máy tính để bàn và máy tính xách tay Dell hiện có trên thị trường, đặc biệt là các mẫu máy mới gần đây như Dell Inspiron Desktop, XPS, và các mô hình Precision M4800Latitude.

Cách kiểm tra xem máy tính của bạn có lỗ hổng không?

Để tìm chứng chỉ nguy hiểm bạn hãy thực hiện các bước sau:

  • Mở Start menu
  • Chọn Run
  • certmgr.msc – quản lý chứng chỉ Windows – vào hộp và nhấn Enter
  • Mở thư mục Trusted Root Certification Authority bên trái
  • Chọn Certificates
  • Tìm kiếm eDellRoot

Cách loại bỏ eDellRoot

Trong khi Google Chrome và Microsoft Edge và trình duyệt Internet Explorer luôn thiết lập một phiên bản Web mã hóa không có cảnh báo chứng chỉ giả mạo, trình duyệt Firefox của Mozilla có đưa ra cảnh báo này. Vì vậy, thứ nhất, khách hàng đang sử dụng Dell XPS, Precision và Inspiron nên sử dụng Firefox để duyệt web.

Thứ hai, để khắc phục vấn đề hoàn toàn, người dùng Dell sẽ cần phải tự thu hồi giấy chứng nhận quyền (certificate permission), một công việc phức tạp và đòi hỏi khắt khe về mặt kỹ thuật. Cụ thể, bạn cần:

  • Xóa Dell.Foundation.Agent.Plugins.eDell.dll từ hệ thống của bạn
  • Sau đó, loại bỏ các chứng chỉ CA gốc eDellRoot

Phản ứng của Dell

Trong một tuyên bố, người phát ngôn của Dell cho biết công ty đang điều tra báo cáo, xem xét các chứng chỉ và sẽ thông báo ngay đến người dùng khi có thêm thông tin. Nhưng họ nhấn mạnh chính sách của công ty là giảm thiểu phần mềm được nạp sẵn vì các lý do an ninh.

Nguồn : THN

Ads

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.