Các nhà nghiên cứu đến từ hãng bảo mật Duo Security vừa tiến hành kiểm tra các bản cập nhật phần mềm được cài đặt mặc định trên các laptop từ 5 nhà sản xuất thiết bị gốc (Original Equipment Manufacturers OEM) là Acer, Asus, Lenovo, Dell và HP. Tất cả đều có ít nhất một lỗ hổng nghiêm trọng co phép tin tặc thực thi mã từ xa bằng quyền quản trị, sau đó xâm nhập vào thiết bị.
Theo các nhà nghiên cứu, nguyên nhân xuất phát từ việc hầu hết các phần mềm của nhà sản xuất không sử dụng giao thức mã hóa HTTPS khi kiểm tra và tải các bản cập nhật. Ngoài ra, một số phần mềm không xác minh các tập tin tải về có phải của OEM không trước khi xử lý. Sự không liên kết giữa các công cụ cập nhật và máy chủ OEM giúp tin tặc có cơ hội can thiệp vào giữa các yêu cầu và thực thi mã độc. Đây là kỹ thuật tấn công man-in-the-middle (MITM), có thể được phát động từ các mạng không dây không an toàn, từ router bị xâm nhập hay cao hơn là từ cơ sở hạ tầng Internet…
Trong vài trường hợp, ngay cả khi OEM bổ sung HTTPS và xác minh chữ ký số, vẫn có các lỗ hổng cho phép kẻ tấn công vượt qua biện pháp bảo mật. Theo nhà nghiên cứu của Duo Security, họ thường được gửi một mớ hỗn độn các đề nghị dịch vụ hệ thống, dịch vụ web, máy chủ COM, tiện ích trình duyệt…
Với cùng một hệ thống, hành vi và mức độ bảo mật của các công cụ cập nhật cũng không giống nhau. Có khi, OEM còn có nhiều công cụ khác nhau để tải cập nhật từ nhiều nguồn khác nhau với các mức độ bảo mật khác nhau đáng kể. Chẳng hạn, Lenovo Solutions Center (LSC) là một trong các chương trình cập nhật phần mềm tốt nhất vì có biện pháp bảo vệ MITM chắc chắn. Đó có thể vì trong quá khứ đã phát hiện lỗ hổng trong LSC nên khiến công ty chú ý. Mặt khác, công cụ cập nhật thứ hai của Lenovo là UpdateAgent lại không có tính năng bảo mật và là một trong những chương trình cập nhật tệ nhất mà Duo Security phân tích.
Công cụ của Dell, Dell Update và plugin Dell Foundation Services (DFS), nằm trong số các chương trình được thiết kế tốt nhất. Sau khi gặp sự cố nghiêm trọng với eDellRoot, nhà sản xuất này dường như đã bổ sung cập nhật tốt hơn.
HP Support Solutions Framework (HPSSF) cùng HP Download and Install Assistant cũng có tính năng bảo mật tươm tất nhưng các chuyên gia vẫn tìm ra vài cách để qua mặt chúng, chủ yếu bởi tính không thống nhất. Rắc rối của HPSSF đến từ số lượng lớn các thành phần và cách chúng tương tác với nhau. Một số loại bảo mật, chẳng hạn xác minh chữ ký điện tử, lại được đưa vào các vị trí khác nhau theo nhiều cách khác nhau.
Sự phức tạp còn đến từ quyết định cài đặt số lượng lớn bất thường các công cụ hỗ trợ trên máy tính của HP. Các nhà nghiên cứu không rõ động cơ của HP là gì và cảm thấy “phát ốm” với chúng.
Các chương trình tệ hại tiếp theo đến từ Acer và Asus, không chỉ thiếu HTTPS và xác minh chữ ký điện tử, theo Duo Security, nhiều lỗ hổng còn chưa được vá.
Lời khuyên của các chuyên gia Duo là xóa bản Windows được tải sẵn trên máy tính và cài mới.
Nguồn: Duo Security
