Credit: Brian Rinker

LogJam HTTPS-Crippling Attack ช่องโหว่ใหม่ในการเข้ารหัส

หลายหมื่นเว็บไซต์ เซิฟเวอร์อีเมลล์ และเซอร์วิสบนระบบอินเตอร์เน็ตที่ใช้ HTTPS กำลังตกเป็นเป้าหมายของแฮ็คเกอร์ เนื่องจากช่องโหว่ในการเข้ารหัสรูปแบบใหม่ เรียกว่า LogJam ช่วยให้ผู้ไม่ประสงค์ดีสามารถโจมตีแบบ Man-in-the-Middle โดยการแอบดักฟังและแก้ไขข้อมูลที่เข้ารหัสระหว่างเครื่องคอมพิวเตอร์ได้

ช่องโหว่ในการแลกเปลี่ยนกุญแจเข้ารหัสบนโปรโตคอล TLS

LogJam ส่งผลกระทบประมาณ 8.4% ของล้านเว็บไซต์ที่คนเข้าถึงบ่อยที่สุด และเซิฟเวอร์อีเมลล์ในปริมาณที่ไม่แตกต่างกันมากนัก ซึ่งช่องโหว่ดังกล่าวเป็นช่องโหว่บนโปรโตคอล TLS (Transport Layer Security) ที่เว็บเซิฟเวอร์และเซิฟเวอร์อีเมลล์ใช้สร้างการเชื่อมต่อแบบเข้ารหัสกับผู้ใช้งาน โดยเซิฟเวอร์ที่ตกเป็นเป้าหมาย คือ เซิฟเวอร์ที่ใช้การแลกเปลี่ยนกุญแจการเข้ารหัสแบบ Diffie-Hellman

คล้ายช่องโหว่ FREAK ที่เพิ่งถูกค้นพบ

ช่องโหว่นี้เป็นผลพวงของการทำ Backdoor จากข้อบังคับของรัฐบาลสหรัฐฯในปีช่วงทศวรรษที่ 90 ซึ่งช่วยให้ FBI และหน่วยงานที่เกี่ยวข้องสามารถแกะข้อมูลที่ถูกเข้ารหัสเพื่อตรวจสอบได้ แฮ็คเกอร์ได้ใช้ช่องทางนี้ในการติดตามการเชื่อมต่อระหว่างเซิฟเวอร์ที่ใช้การแลกเปลี่ยนกุญแจเข้ารหัสแบบ Diffie-Hellman กับผู้ใช้งาน โดยทำการแอบยัด Payload พิเศษเข้าไปยังทราฟฟิคเพื่อดาวน์เกรดการเข้ารหัสจากเดิมที่ใช้กุญแจขนาดใหญ่ ความแข็งแกร่งสูง กลายเป็นใช้กุญแจเข้ารหัสขนาด 512 บิทที่ง่ายต่อการแฮ็คแทน ส่งผลให้แฮ็คเกอร์สามารถถอดกุญแจที่ใช้เข้ารหัสระหว่างเซิฟเวอร์และผู้ใช้งานได้อย่างง่ายดาย ซึ่งการโจมตีรูปแบบนี้คล้ายกับช่องโหว่ FREAK ที่เพิ่งค้นพบไปเมื่อไม่กี่เดือนที่ผ่านมา

ส่งผลกระทบต่อเว็บเซิฟเวอร์และเซิฟเวอร์อีเมลล์

8.4% ของหนึ่งล้านเว็บเซิฟเวอร์แรกที่คนเข้าถึงบ่อยที่สุดได้รับผลกระทบจาก LogJam และคาดว่าประมาณ 3.4% ของเว็บเซิฟเวอร์ที่ใช้ HTTPS ต้องสงสัยว่ามีช่องโหว่ดังกล่าว สำหรับเซิฟเวอร์อีเมลล์ที่รองรับโปรโตคอล SMTP ที่ใช้ StartTLS, โปรโตคอล Secure POP3 และโปรโตคอล IMAP ก็คาดว่าได้รับผลกระทบ 14.8%, 8.9% และ 8.4% ตามลำดับ

มีเพียง IE เท่านั้นที่ปลอดภัยจาก LogJam

จากการทดสอบโดย Computerworld พบว่ามีเพียง Internet Explorer 11 เท่านั้นที่มีการแพทช์เพื่ออุดช่องโหว่ดังกล่าว สำหรับเบราเซอร์อื่นๆ แนะนำว่าให้ทำการปฏิเสธการเชื่อมต่อทันทีเมื่อกุญแจที่ใช้เข้ารหัสมีความยาวน้อยกว่า 1,024 บิท รวมทั้งยกเลิกการใช้งาน DHE_EXPORT Ciphersuite ที่ยอมให้ดาวน์เกรดการเข้ารหัสแบบ Diffie-Hellman ได้ ซึ่งคาดว่าเบราเซอร์เจ้าอื่นๆจะออกแพทช์อัพเดทภายใน 1-2 วันนี้

logjam_1

สำหรับผู้ที่สงสัยว่าอัลกอริธึม Diffie-Hellman มีคุณสมบัติ Perfect Forward Secrecy (PFS) ที่ว่าถ้ากุญแจเข้ารหัสในเซสชันใดๆถูกโจมตีแล้ว จะต้องไม่ส่งผลกระทบต่อกุญแจเข้ารหัสในเซสชันอื่นๆในอนาคต แล้วทำไมยังถูกโจมตีโดยช่องโหว่ Logjam ได้ สามารถอ่านรายละเอียดเรื่องความไม่สมบูรณ์ของ PFS ได้ที่ https://weakdh.org/imperfect-forward-secrecy.pdf

ที่มา: http://arstechnica.com/security/2015/05/https-crippling-attack-threatens-tens-of-thousands-of-web-and-mail-servers/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Firefox ออกแพตช์ช่องโหว่ใน Password Manager

สำหรับผู้ใช้งาน Firefox ทาง Mozilla ได้ทำการแพตช์อุดช่องโหว่ให้ Password Manager ซึ่งสามารถใช้ลัดผ่านการป้องกันของ Master Password ได้

นักวิจัยพบฐานข้อมูลลายนิ้วมือและใบหน้ารั่วไหล คาดกระทบผู้ใช้หลายล้านราย

Noam Rotem และ Ran Locar นักวิจัยจาก vpnMentor ได้ออกมาเปิดเผยถึงการค้นพบฐานข้อมูลลายนิ้วมือและใบหน้าของแพลตฟอร์ม BioStar 2 ที่มีการตั้งค่า Elasticsearch Database เอาไว้ไม่ดีทำให้สามารถเข้าถึงข้อมูลขนาดกว่า 23 …