Nhờ những quyết định thiết kế tồi, AutoRun đã từng là một vấn đề bảo mật lớn trên Windows. AutoRun đã cho phép phần mềm độc hại khởi chạy một cách hữu ích ngay khi bạn lắp đĩa và ổ USB vào máy tính của mình.
Lỗ hổng này không chỉ được khai thác bởi các tác giả phần mềm độc hại. Nó nổi tiếng được sử dụng bởi Sony BMG để che giấu một rootkit trên đĩa CD nhạc. Windows sẽ tự động chạy và cài đặt bộ rootkit khi bạn chèn một đĩa CD âm thanh độc hại của Sony vào máy tính của mình.
Nguồn gốc của AutoRun
LIÊN QUAN: Không phải tất cả "vi-rút" đều là vi-rút: Giải thích 10 thuật ngữ về phần mềm độc hại
AutoRun là một tính năng được giới thiệu trong Windows 95. Khi bạn đưa đĩa phần mềm vào máy tính, Windows sẽ tự động đọc đĩa và - nếu tìm thấy tệp autorun.inf trong thư mục gốc của đĩa - nó sẽ tự động khởi chạy chương trình được chỉ định trong tệp autorun.inf.
Đây là lý do tại sao khi bạn đưa đĩa CD phần mềm hoặc đĩa trò chơi PC vào máy tính, nó sẽ tự động khởi chạy trình cài đặt hoặc màn hình hiển thị với các tùy chọn. Tính năng này được thiết kế để làm cho các đĩa này dễ sử dụng, giảm sự nhầm lẫn của người dùng. Nếu AutoRun không tồn tại, người dùng sẽ phải mở cửa sổ trình duyệt tệp, điều hướng đến đĩa và khởi chạy tệp setup.exe từ đó.
Điều này hoạt động khá tốt trong một thời gian và không có vấn đề gì lớn. Rốt cuộc, người dùng gia đình không có cách dễ dàng để sản xuất đĩa CD của riêng họ trước khi ổ ghi đĩa CD phổ biến. Bạn thực sự chỉ xem qua các đĩa thương mại và chúng thường đáng tin cậy.
Nhưng ngay cả trong Windows 95 khi AutoRun được giới thiệu, nó vẫn chưa được bật cho đĩa mềm . Rốt cuộc, bất kỳ ai cũng có thể đặt bất kỳ tệp nào họ muốn trên đĩa mềm. AutoRun cho đĩa mềm sẽ cho phép phần mềm độc hại lây lan từ đĩa mềm sang máy tính sang đĩa mềm sang máy tính.
AutoPlay trong Windows XP
Windows XP đã cải tiến tính năng này với chức năng “AutoPlay”. Khi bạn lắp đĩa, ổ flash USB hoặc một loại thiết bị đa phương tiện di động khác, Windows sẽ kiểm tra nội dung của nó và đề xuất hành động cho bạn. Ví dụ: nếu bạn lắp thẻ SD có chứa ảnh từ máy ảnh kỹ thuật số của mình, nó sẽ khuyên bạn làm điều gì đó thích hợp cho các tệp ảnh. Nếu ổ đĩa có tệp autorun.inf, bạn sẽ thấy tùy chọn hỏi bạn có muốn tự động chạy chương trình từ ổ đĩa đó hay không.
Tuy nhiên, Microsoft vẫn muốn đĩa CD hoạt động như cũ. Vì vậy, trong Windows XP, CD và DVD sẽ vẫn tự động chạy các chương trình trên chúng nếu chúng có tệp autorun.inf hoặc sẽ tự động bắt đầu phát nhạc nếu chúng là CD âm thanh. Và, do kiến trúc bảo mật của Windows XP, những chương trình đó có thể sẽ khởi chạy với quyền truy cập của Quản trị viên . Nói cách khác, họ có toàn quyền truy cập vào hệ thống của bạn.
Với các ổ USB chứa tệp autorun.inf, chương trình sẽ không tự động chạy, nhưng sẽ hiển thị cho bạn tùy chọn trong cửa sổ AutoPlay.
Bạn vẫn có thể vô hiệu hóa hành vi này. Có các tùy chọn được chôn trong chính hệ điều hành, trong sổ đăng ký và trình chỉnh sửa chính sách nhóm. Bạn cũng có thể giữ phím Shift khi lắp đĩa và Windows sẽ không thực hiện hành vi Tự động chạy.
Một số ổ USB có thể giả lập đĩa CD và thậm chí cả đĩa CD không an toàn
Sự bảo vệ này bắt đầu bị phá vỡ ngay lập tức. SanDisk và M-Systems nhìn thấy hành vi Tự động chạy của CD và muốn nó cho ổ đĩa flash USB của riêng họ, vì vậy họ đã tạo Ổ đĩa flash U3 . Các ổ đĩa flash này mô phỏng ổ đĩa CD khi bạn kết nối chúng với máy tính, vì vậy hệ thống Windows XP sẽ tự động khởi chạy các chương trình trên chúng khi chúng được kết nối.
Tất nhiên, ngay cả đĩa CD cũng không an toàn. Những kẻ tấn công có thể dễ dàng ghi ổ CD hoặc DVD hoặc sử dụng ổ ghi lại. Ý tưởng rằng đĩa CD an toàn hơn ổ USB bằng cách nào đó là sai lầm.
Thảm họa 1: Sony BMG Rootkit Fiasco
Năm 2005, Sony BMG bắt đầu bán các bộ rootkit Windows trên hàng triệu đĩa CD âm thanh của họ. Khi bạn đưa đĩa CD âm thanh vào máy tính, Windows sẽ đọc tệp autorun.inf và tự động chạy trình cài đặt rootkit, trình cài đặt này đã lén lút lây nhiễm vào máy tính của bạn trong nền. Mục đích của việc này là để ngăn bạn sao chép hoặc sao chép đĩa nhạc vào máy tính của bạn. Bởi vì đây là những chức năng được hỗ trợ thông thường, rootkit đã phải phá hủy toàn bộ hệ điều hành của bạn để ngăn chặn chúng.
Tất cả đều có thể thực hiện được nhờ AutoRun. Một số người khuyên bạn nên giữ phím Shift bất cứ khi nào bạn đưa đĩa CD âm thanh vào máy tính của mình và những người khác công khai thắc mắc rằng liệu việc giữ phím Shift để ngăn chặn rootkit cài đặt có được xem xét vi phạm các lệnh cấm chống gian lận của DMCA chống lại việc bỏ qua bảo vệ sao chép.
Những người khác đã ghi lại lịch sử lâu dài, xin lỗi cô ấy. Giả sử rootkit không ổn định, phần mềm độc hại đã lợi dụng rootkit để lây nhiễm hệ thống Windows dễ dàng hơn và Sony đã nhận được một con mắt đen lớn và xứng đáng trên đấu trường công khai.
Thảm họa 2: Conficker Worm và các phần mềm độc hại khác
Conficker là một loại sâu đặc biệt khó chịu được phát hiện lần đầu tiên vào năm 2008. Ngoài ra, nó còn lây nhiễm các thiết bị USB được kết nối và tạo ra các tệp autorun.inf trên đó sẽ tự động chạy phần mềm độc hại khi chúng được kết nối với một máy tính khác. Là công ty chống vi-rút TRƯỜNG HỢP đã viết:
“Ổ USB và phương tiện di động khác, được truy cập bởi chức năng Tự động chạy / Tự động phát mỗi lần (theo mặc định) bạn kết nối chúng với máy tính của mình, là những vật mang vi-rút được sử dụng thường xuyên nhất hiện nay.”
Conficker được biết đến nhiều nhất, nhưng nó không phải là phần mềm độc hại duy nhất lạm dụng chức năng Tự động chạy nguy hiểm. Tự động chạy như một tính năng thực tế là một món quà cho các tác giả phần mềm độc hại.
Windows Vista đã tắt tính năng tự động chạy theo mặc định, nhưng…
Cuối cùng, Microsoft đã khuyến nghị người dùng Windows nên tắt chức năng AutoRun. Windows Vista đã thực hiện một số thay đổi tốt mà Windows 7, 8 và 8,1 đều được kế thừa.
Thay vì tự động chạy các chương trình từ CD, DVD và ổ USB giả dạng đĩa, Windows chỉ đơn giản là hiển thị hộp thoại AutoPlay cho các ổ này. Nếu một đĩa hoặc ổ được kết nối có chương trình, bạn sẽ thấy chương trình đó như một tùy chọn trong danh sách. Windows Vista và các phiên bản Windows mới hơn sẽ không tự động chạy các chương trình mà không yêu cầu bạn - bạn phải nhấp vào tùy chọn “Run [program].exe” trong hộp thoại AutoPlay để chạy chương trình và bị nhiễm.
LIÊN QUAN: Đừng hoảng sợ, nhưng tất cả các thiết bị USB đều gặp sự cố bảo mật lớn
Nhưng phần mềm độc hại vẫn có thể lây lan qua AutoPlay. Nếu bạn kết nối một ổ USB độc hại với máy tính của mình, bạn vẫn chỉ cần một cú nhấp chuột để chạy phần mềm độc hại qua hộp thoại Tự động phát - ít nhất là với cài đặt mặc định. Các tính năng bảo mật khác như UAC và chương trình chống vi-rút của bạn có thể giúp bảo vệ bạn, nhưng bạn vẫn nên cảnh giác.
Và, thật không may, bây giờ chúng ta có mối đe dọa bảo mật thậm chí còn đáng sợ hơn từ các thiết bị USB cần nhận thức.
Nếu bạn thích, bạn có thể tắt hoàn toàn AutoPlay - hoặc chỉ dành cho một số loại ổ đĩa nhất định - vì vậy bạn sẽ không nhận được cửa sổ bật lên Tự động phát khi bạn lắp phương tiện di động vào máy tính của mình. Bạn sẽ tìm thấy các tùy chọn này trong Bảng điều khiển. Thực hiện tìm kiếm “tự động phát” trong hộp tìm kiếm của Bảng điều khiển để tìm chúng.
Tín dụng hình ảnh: aussiegal trên Flickr , m01229 trên Flickr , Lordcolus trên Flickr
