ผู้เชี่ยวชาญเตือนคอมพิวเตอร์ในองค์กรมีความเสี่ยงจาก DMA Attack

ผู้เชี่ยวชาญจาก Eclypsium ได้ออกมาอ้างถึงผลการศึกษาว่าอุปกรณ์คอมพิวเตอร์ในองค์กรมีความเสี่ยงต่อ Direct Memory Access Attack

Credit: ShutterStock.com

Direct Memory Access หรือ DMA เป็นฟีเจอร์ที่อนุญาตให้ส่วนประกอบฮาร์ดแวร์สามารถเข้าถึงหน่วยความจำได้โดยตรงไม่ข้องเกี่ยวกับ OS และ CPU อย่างไรก็ตามฟีเจอร์ดังกล่าวสามารถถูกคนร้ายใช้ในทางไม่ดีได้ ซึ่งการโจมตีนั้นหากเกิดจากการเชื่อมต่ออุปกรณ์กับพอร์ตของพิวเตอร์เชิงกายภาพเรียกว่า Close-chassis Attack ส่วนการเปิดเคสเพื่อเชื่อมต่อในระดับฮาร์ดแวร์จะเรียกว่า Open-chassis Attack นอกจากนี้ DMA Attack ยังสามารถทำได้จากทางไกลผ่านมัลแวร์ที่สามารถแก้ไข Firmware อุปกรณ์เป้าหมายได้ โดยผลลัพธ์ของการโจมตีเมื่อสำเร็จนั้นจะทำให้คนร้ายสามารถ Execute Kernel Code, Bypass กลไกด้านความมั่นคงปลอดภัย ขโมยข้อมูล และติดตั้ง Backdoor ได้

อันที่จริงแล้วปัจจุบันก็มีเทคโนโลยีอย่าง Input-output memory management unit (IOMMU) ที่ถูกพัฒนาโดย Intel และ AMD เพื่อป้องกันการโจมตี DMA ได้แต่การป้องกันอย่างเต็มรูปแบบต้องอาศัยทั้ง UEFI Firmware และ OS ด้วย ซึ่งในทางปฏิบัติอุปกรณ์ที่มีการป้องกันระดับ UEFI เพิ่งออกมาเมื่อปี 2019 และ Windows 10 ที่มีการป้องกัน DMA ระหว่างการบูตก็เพิ่งเริ่มต้นช่วงปี 2018 เท่านั้น

ด้วยเหตุนี้เองทีม Eclypsium จึงได้ทำการทดสอบการโจมตีกับ Dell XPS 13 7390 2-in-1 ที่เพิ่งออกมาเมื่อเดือนตุลาคมและพบว่าเครื่องจาก Dell ก็ไม่รอดการโจมตีแบบ Close-chassis DMA Attack ทาง Thunderbolt โดยใช้เครื่องมือ PCILeech ด้วยเหตุผลที่ว่ามีการเปิด pre-boot module Thunderbolt เป็นค่า Default ที่ต่อมา Dell ได้อัปเดตแก้ไขแล้วใน CVE-2019-18579 เช่นเดียวกันทีมงานยังได้โจมตี Open-chassis กับเครื่องโน๊ตบุ๊ค HP ได้สำเร็จทั้งๆ ที่มี HP Sure Start ซึ่งปกป้อง BIOS และมี IOMMU ของ Intel แล้ว ซึ่ง HP เองก็ได้อัปเดต Sure Start ในที่สุด

อย่างไรก็ตามทีมงานเชื่อว่าการป้องกันในทางปฏิบัติจริงคงต้องกินเวลาอีกสักพักใหญ่เพราะเกี่ยวข้องกับทั้ง Firmware และฮาร์ดแวร์ นอกจากนี้ทีมงานได้ให้เครดิตเครื่องจาก Apple ที่ป้องกัน DMA Attack เมื่อเปิดเครื่องได้ โดยคาดว่า Firmware จะมีการใช้ IOMMU แล้ว

ที่มา :  https://www.securityweek.com/devices-still-vulnerable-dma-attacks-despite-protections


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] เครื่องมือรักษาความปลอดภัยพื้นฐานที่ทุกองค์กรต้องมี

ทุกวันนี้กระแสการโจมตีทางไซเบอร์มีให้เห็นอยู่บ่อยครั้ง ไม่ว่าจะเป็นการโจมตีจาก แรนซัมแวร์, แฮกเกอร์, มัลแวร์ และไวรัส ล้วนเป็นภัยคุกคามด้านความปลอดภัยที่แท้จริงในโลกดิจิตอล คุณพร้อมรับมือจากภัยคุกคามเหล่านี้หรือยัง และมีเครื่องมือการรักษาความปลอดภัยขั้นพื้นฐานอะไรบ้างที่ทุกองค์กรควรมี เพื่อรักษาความมั่นคงปลอดภัยทางไซเบอร์ให้กับองค์กรของตนเอง คอมพิวเตอร์ยูเนี่ยนได้เรียงลำดับความสำคัญจากภัยคุกคามทางไซเบอร์สำหรับองค์กรดังนี้

HPE Aruba | Zscaler Webinar: WAN & Security Transformation with Aruba EdgeConnect and Zscaler Zero Trust Exchange

Zscaler ร่วมกับ HPE Aruba ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน Network & Security เข้าร่วมงานสัมมนาออนไลน์เรื่อง "WAN & Security Transformation with Aruba EdgeConnect and Zscaler Zero Trust Exchange" ในวันอังคารที่ 2 พฤศจิกายน 2021 เวลา 14:00 น. ผ่านทาง Live Webinar