Những điều cần biết về lỗi HCP của Windows
Những điều cần biết về lỗi HCP của Windows
Nếu đang sử dụng Windows XP hoặc Windows Server 2003, bạn phải nâng
cấp registry của mình – hoặc ai đó có thể chạy phần mềm hay các lệnh trên
máy tính của bạn cứ như thể họ là bạn.
Bất cứ ai đang sử dụng Windows XP hay Windows Server 2003 đều cần phải
nâng cấp registry để khắc phục tạm thời lỗi này.
Một lỗi nghiêm trọng trong phần Help and Support center vừa mới được công
bố gần đây và Microsoft chưa có bản vá chính thức cũng như chưa có đánh
giá khi nào họ sẽ khắc phục được vấn đề này. Tồi tệ hơn, một mã đơn giản có
thể khai thác lỗi này lại có thể tìm thấy khá dễ dàng, cùng với đó là những
giải thích chi tiết, làm cho nó trở nên dễ dàng sử dụng bởi những kẻ xấu
muốn lợi dụng khai thác các lỗ hổng trong hệ điều hành.
Vấn đề phải thực hiện bằng cách nào đó có thể xử lý các liên kết HCP://. Các
liên kết website thông thường sử dụng HTTP còn các liên kết HCP được sử
dụng bởi Help and Support Center (helpctr.exe).
Người dùng có thể nghĩ rằng việc bị tiêm nhiễm là do phải kích một liên kết
nào đó, trong một trang web hoặc một email. Tuy nhiên sự thật không phải
vậy, việc xem một trang web tưởng chừng như vô hại nhưng tất cả cũng xuất
phát từ đó. Security Advisory (2219475)của Microsoft đã cảnh báo “Lỗ hổng
này có thể cho phép thực thi mã từ xa nếu người dùng xem một trang web giả
mạo nào đó bằng trình duyệt web...”
Nếu lỗi này bị khai thác, kẻ xấu có thể chạy phần mềm hoặc các lệnh trên
máy tính của bạn, như thể họ là bạn. Cụm từ cuối rất cùng quan trọng nhưng
không được nhấn mạnh trong các bài mà tôi đã đọc về chủ đề này.
Bất cứ ai đăng nhập vào Windows với tư cách là quản trị viên đều cũng phải
chịu tác động của lỗ hổng như những người không biết tí gì. Việc hoạt động
như một người dùng bị hạn chế ("limited" là thuật ngữ thường được dùng bởi
Windows XP) cũng không bảo vệ bạn tránh được lỗi HCP, tuy nhiên dù sao
nó cũng hạn chế được những gì phần mềm mã độc hoặc các lệnh có thể thực
hiện trên máy tính của bạn.
Đơn giản, những kẻ xấu sẽ không thể khai thác lỗi này để cài đặt phần mềm
khi bạn đăng nhập với tư cách một người dùng bị hạn chế. Họ có thể chạy
phần mềm mã độc, tuy nhiên phần mềm không thể được cài đặt vĩnh viễn và
có một vài hạn chế về những gì nó có thể thực hiện. Rõ ràng, đó là toàn bộ ý
tưởng phía sau người dùng bị hạn chế.
Nhưng hiếm khi có ai đó chạy với tư cách một người dùng bị hạn chế.
<soapbox>
Sai lầm lớn.
</soapbox>
Bản vá hiện được cung cấp
Không cần phải nói, cách tốt nhất để ngăn chặn những gì mã độc có thể tấn
công là thực hiện nâng cấp registry. Cho tới khi Microsoft khắc phục vấn đề
ở mức độ cơ bản, bản vá tạm thời mà Microsoft gợi ý đều liên quan đến việc
Windows không xử lý bất cứ liên kết HCP nào.
Đầu tiên, nâng cấp registry để bỏ qua các liên kết HCP cần phải được thực
hiện một cách thủ công, tuy nhiên Microsoft đã cung cấp một công cụ có thể
tự động thực hiện công việc đó giúp bạn.
Không quan tâm đến cách registry sẽ được nâng cấp thế nào, trước khi thực
hiện bất cứ thứ gì với registry bạn cần phải tạo một backup cho nó trước. Với
Windows XP, kích Start -> Programs -> Accessories -> System Tools ->
System Restore. Kích tùy chọn "Create a restore point" và đặt tên cho nó đại
loại như "before disabling the HCP protocol".
Chúng tôi thấy có hai phương pháp được gợi ý khác nhau cho việc thực hiện
nâng cấp registry thủ công – một là xóa dữ liệu trong registry, còn một là đổi
tên để giảm sự tàn phá.
Cách thức mà chúng tôi thích và sử dụng ở đây là đổi tên. Steve Gibson đã
cung cấp đầy đủ thông tin về phương pháp này trên blog HCP 0-Day Quick
Fix.
Trong một nutshell, chạy regedit, thực hiện một tìm kiếm với từ khóa là
"HCP" (giá trị hoặc dữ liệu) và so khớp với toàn bộ chuỗi. Sau khi tìm thấy,
bạn hãy đổi tên nó, tất cả chỉ có vậy. Lưu ý lệnh Find không phân biệt chữ in
hay chữ thường. Còn bạn cần đăng nhập với tư cách quản trị viên để có thể
thay đổi registry.
Phương pháp này sẽ bắt bạn phải download một file,
MicrosoftFixit50459.msi về máy tính và chạy nó. Một ưu điểm của phương
pháp này là bạn có thể download file một lần và sử dụng nó để sửa cho nhiều
máy tính.
Không có nhiều vấn đề nhưng chương trình Fix it của Microsoft không đổi
tên khóa HCP registry, cũng không xóa thành phần này mà thay vào đó xóa
các khóa con bên dưới HCP trong registry.
Bạn sẽ thấy trang “Microsoft Fix Internet” có các liên kết cho phép và vô
hiệu hóa bản vá tạm thời (workaround). Không nên nhầm lẫn - "enable"
(cũng được biết đến như Microsoft Fix it 50459) ám chỉ việc vô hiệu hóa giao
thức HCP. Tùy chọn "disable" (được biết đến như Microsoft Fix it 50460)
được cần đến trong tương lai sau khi Microsoft vá vấn đề cơ bản.
Một lần nữa, nhiều người dùng XP không nên sử dụng Help and Support
center. Nếu đó là bạn, bạn có thể để giao thức HCP vô hiệu hóa mãi mãi. Nó
đã bị lạm dụng trước đây.
Test
Người phát hiện ra lỗi này đã cung cấp hai trường hợp khai thác điển hình
Bạn có thể thẩm định việc vô hiệu hóa giao thức HCP có thể ngăn chặn vấn
đề bằng cách chạy các test này trước vào sau.
Người dùng Windows XP đang sử dụng phiên bản Internet Explorer 7 có thể
kích vào liên kết bên dưới để test lỗ hổng.
http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/
starthelp.html
Nếu bộ tính toán calculator của Windows khởi chạy, máy tính của bạn sẽ có
lỗ hổng.
Người dùng Windows XP đang sử dụng Internet Explorer 8 và Windows
Media Player 9 có thể kích liên kết bên dưới để test lỗ hổng.
http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/
launchurl.html
Tiếp đó, nếu bộ tính toán calculator của Windows khởi chạy, máy tính của
bạn cũng sẽ có lỗ hổng. Nếu đã cài đặt một phiên bản Media Player mới thì
đây cũng không phải một test hợp lệ.
Theo chuyên gia phát triển:
Cần phải có một số thay đổi cho các cấu hình khác, đó đơn giản là một cố
gắng minh chứng vấn đề ... Thêm vào đó, minh chứng của chúng tôi không
được dự định cho mục đích đánh cắp, một tấn công thực sẽ hiếm khi cảnh
báo nạn nhân... Các trình duyệt cũng rất hữu dụng cho việc minh chứng vấn
đề, tuy nhiên chắc chắn có nhiều phương thức tấn công khác, chẳng hạn như
MUA, tài liệu,... Các bộ quản lý giao thức được thiết kế để được sử dụng
giữa các ứng dụng.
Cũng cần lưu ý rằng, khi phần mềm antivirus/anti-malware trên máy tính có
thể phát hiện các ví dụ này là mã độc thì điều đó cũng không có nghĩa rằng
nó đã có sự bảo vệ hoàn chỉnh cho vấn đề.
Để bảo đảm rằng nâng cấp registry vô hiệu hóa giao thức HCP đang thực sự
thực hiện công việc của nó, bạn có thể vô hiệu hóa phần mềm antivirus của
mình, chạy test để xem Calculator có bị triệu gọi không, chạy bản vá, sau đó
chạy test lần nữa để bảo đảm Calculator không chạy.
Vô hiệu hóa dịch vụ nằm bên dưới
Cuối cùng, chưa có cách khác để giải quyết vấn đề này, trước khi Microsoft
đưa ra bản vá – vô hiệu hóa dịch vụ Help and Support nằm bên dưới là giải
pháp cần thực hiện lúc này.
Chúng tôi đã thực hiện cách thức này trên một máy tính của mình trong khi
đang chạy một trong các test trên, trước khi vô hiệu hóa HCP. Trên máy tính
đó, chúng tôi đã vô hiệu hóa dịch vụ từ trước vì hiếm khi sử dụng Help and
Support Center. IE7 đã cảnh báo rằng dịch vụ cần được khởi chạy và
Calculator thì không chạy.
Giải pháp này không được gợi ý bởi Microsoft, tuy nhiên nó sẽ tạo một
chiếm thuật phòng thủ thứ hai khá tốt.
Thú vị, khi việc vô hiệu hóa dịch vụ lại ngăn chặn được khai thác test, trong
khi đó việc đơn thuần stop dịch vụ thì không. Điều này là vì, với dịch vụ
được cấu hình cài đặt thủ công, test khai thác đã có thể khởi chạy dịch vụ và
chạy Calculator. Tuy nhiên việc vô hiệu hóa dịch vụ Help and Support có thể
không phải là sự phòng chống vững chắc, chúng tôi thấy phần mềm khởi
chạy dịch vụ đã bị vô hiệu hóa.
Để rõ ràng hơn, nếu giao thức HCP bị vô hiệu hóa, máy tính sẽ được bảo vệ
ngay cho dù dịch vụ Help and Support đang chạy.
Khi nâng cấp registry, việc điều chỉnh trạng thái của dịch vụ yêu cầu thẩm
định mức quản trị viên.
Bất cứ người dùng nào đang chạy Windows 7, Vista, 2000 hoặc Server 2008
đều không bị ảnh hưởng. Vấn đề với giao thức HCP chỉ ảnh hưởng đến người
dùng Windows XP và Server 2003.
Giải pháp “Fix it” bán tự động của Microsoft sẽ tạo một điểm khôi phục
mang tên "Installed Microsoft Fix it 50459". Mặc dù vậy, chương trình Fix it
sẽ nâng cấp registry dù có vấn đề với System Restore, do đó chúng tôi cảm
thấy nó là giải pháp tốt nhất cho việc tạo điểm khôi phục thủ công để có thể
thẩm định rằng tất cả đều thực hiện tốt việc nâng cấp registry.
có thể bạn quan tâm
Những điều cần biết về Settings trong Windows 10
0
609
309
Tài liệu CNTT khác
(New)
Một số điều cần biết về quá trình Sysprep trên Windows 7
17
662
283
Cơ sở dữ liệu
17
(New)
Những điều cần biết về vốn điều lệ cho kế toán
3
695
300
Kế toán, kiểm toán
3
(New)
Những dòng mã CMD trên Windows mà bạn nên biết
15
812
296
Lập trình
15
(New)
Những điều cần biết về XML
59
763
548
Cơ sở dữ liệu
59
(New)
Những điều cần biết về GPU rời
9
2.313
276
Cơ sở dữ liệu
9
(New)
API và những điều cần biết
7
1.232
275
Cơ sở dữ liệu
7
(New)
NHỮNG ĐIỀU TRẺ NÊN BIẾT
4
1.116
357
Mẹ và bé
4
(New)
thông tin tài liệu
Bất cứ ai đang sử dụng Windows XP hay Windows Server 2003 đều cần phải nâng cấp registry để khắc phục tạm thời lỗi này.
Mở rộng để xem thêm
tài liệu mới trong mục này
tài liệu hot trong mục này
tài liệu giúp tôi
Nếu bạn không tìm thấy tài liệu mình cần có thể gửi yêu cầu ở đây để chúng tôi tìm giúp bạn!
xem nhiều trong tuần
Tâm lý xã hội VÀ Hệ tư tưởng
Tham khảo 12 bài tập nguyên lý thống kê có lời giải
4 đề thi học sinh giỏi Toán lớp 2, có đáp án kèm theo
Trắc nghiệm kinh tế
Địa lý 12 Phát triển cây công nghiệp lâu năm Tây Nguyên
Mẫu slide về các môn thể thao
yêu cầu tài liệu
Giúp bạn tìm tài liệu chưa có
×
