ผู้เชี่ยวชาญเตือนคอมพิวเตอร์ในองค์กรมีความเสี่ยงจาก DMA Attack

ผู้เชี่ยวชาญจาก Eclypsium ได้ออกมาอ้างถึงผลการศึกษาว่าอุปกรณ์คอมพิวเตอร์ในองค์กรมีความเสี่ยงต่อ Direct Memory Access Attack

Direct Memory Access หรือ DMA เป็นฟีเจอร์ที่อนุญาตให้ส่วนประกอบฮาร์ดแวร์สามารถเข้าถึงหน่วยความจำได้โดยตรงไม่ข้องเกี่ยวกับ OS และ CPU อย่างไรก็ตามฟีเจอร์ดังกล่าวสามารถถูกคนร้ายใช้ในทางไม่ดีได้ ซึ่งการโจมตีนั้นหากเกิดจากการเชื่อมต่ออุปกรณ์กับพอร์ตของพิวเตอร์เชิงกายภาพเรียกว่า Close-chassis Attack ส่วนการเปิดเคสเพื่อเชื่อมต่อในระดับฮาร์ดแวร์จะเรียกว่า Open-chassis Attack นอกจากนี้ DMA Attack ยังสามารถทำได้จากทางไกลผ่านมัลแวร์ที่สามารถแก้ไข Firmware อุปกรณ์เป้าหมายได้ โดยผลลัพธ์ของการโจมตีเมื่อสำเร็จนั้นจะทำให้คนร้ายสามารถ Execute Kernel Code, Bypass กลไกด้านความมั่นคงปลอดภัย ขโมยข้อมูล และติดตั้ง Backdoor ได้

อันที่จริงแล้วปัจจุบันก็มีเทคโนโลยีอย่าง Input-output memory management unit (IOMMU) ที่ถูกพัฒนาโดย Intel และ AMD เพื่อป้องกันการโจมตี DMA ได้แต่การป้องกันอย่างเต็มรูปแบบต้องอาศัยทั้ง UEFI Firmware และ OS ด้วย ซึ่งในทางปฏิบัติอุปกรณ์ที่มีการป้องกันระดับ UEFI เพิ่งออกมาเมื่อปี 2019 และ Windows 10 ที่มีการป้องกัน DMA ระหว่างการบูตก็เพิ่งเริ่มต้นช่วงปี 2018 เท่านั้น

ด้วยเหตุนี้เองทีม Eclypsium จึงได้ทำการทดสอบการโจมตีกับ Dell XPS 13 7390 2-in-1 ที่เพิ่งออกมาเมื่อเดือนตุลาคมและพบว่าเครื่องจาก Dell ก็ไม่รอดการโจมตีแบบ Close-chassis DMA Attack ทาง Thunderbolt โดยใช้เครื่องมือ PCILeech ด้วยเหตุผลที่ว่ามีการเปิด pre-boot module Thunderbolt เป็นค่า Default ที่ต่อมา Dell ได้อัปเดตแก้ไขแล้วใน CVE-2019-18579 เช่นเดียวกันทีมงานยังได้โจมตี Open-chassis กับเครื่องโน๊ตบุ๊ค HP ได้สำเร็จทั้งๆ ที่มี HP Sure Start ซึ่งปกป้อง BIOS และมี IOMMU ของ Intel แล้ว ซึ่ง HP เองก็ได้อัปเดต Sure Start ในที่สุด

อย่างไรก็ตามทีมงานเชื่อว่าการป้องกันในทางปฏิบัติจริงคงต้องกินเวลาอีกสักพักใหญ่เพราะเกี่ยวข้องกับทั้ง Firmware และฮาร์ดแวร์ นอกจากนี้ทีมงานได้ให้เครดิตเครื่องจาก Apple ที่ป้องกัน DMA Attack เมื่อเปิดเครื่องได้ โดยคาดว่า Firmware จะมีการใช้ IOMMU แล้ว

ที่มา :  https://www.securityweek.com/devices-still-vulnerable-dma-attacks-despite-protections