TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยได้ออกมาค้นพบถึงแนวทางการโจมตีรูปแบบใหม่ที่อาศัย Interface ในการตรวจสอบการใช้พลังงานบนหน่วยประมวลผลของ Intel เพื่อช่วยในการเข้าถึงข้อมูลสำคัญบน CPU ได้ ซึ่งทาง Intel ก็ได้ทำการอัปเดต Patch แก้ไขปัญหาดังกล่าวนี้แล้ว และผู้พัฒนาระบบปฏิบัติการทั่วโลกเองก็กำลังออกอัปเดตตามมาเช่นกัน
ทีมนักวิจัยจาก Graz University of Technology, University of Birmingham และ CISPA Helmholtz Center for Information Security ได้ออกมาเผยถึงการโจมตี PLATYPUS นี้ว่าชื่อนี้ย่อมาจาก Power Leakage Attacks: Targeting Your Protected User Secrets โดยอาศัย Running Average Power Limit (RAPL) Interface ที่มีอยู่บน Intel CPU มายาวนานหลายปีในการโจมตี
RAPL นี้จะทำหน้าที่เป็นตัวเชื่อมประสานเพื่อเปิดให้ Firmware สามารถทำการตรวจสอบการใช้พลังงานบน CPU และ DRAM ได้ ซึ่งทีมนักวิจัยก็ได้ทำการตรวจสอบถึงรูปแบบที่เกิดขึ้นในการใช้พลังงานที่แตกต่างกันจากการเรียกใช้แต่ละคำสั่ง จนสามารถจับรูปแบบได้ว่าเมื่อใดบ้างที่จะมีการนำข้อมูลสำคัญอย่างเช่น Encryption Key, Password, เอกสารสำคัญ หรือข้อมูลอื่นๆ มาโหลดเก็บไว้
โดยปกติแล้วข้อมูลความลับสำคัญเหล่านี้ที่ถูกโหลดนำมาเก็บไว้นั้นมักจะมีเทคโนโลยีที่ถูกออกแบบมาเพื่อป้องกันไม่ให้ผู้โจมตีเข้าถึงได้อยู่แล้ว อย่างเช่นการใช้เทคนิค Kernel Address Space Layout Randomization (KASLR) หรือการใช้ Hardware-Isolated Trusted Execution Environment (TEE) อย่างเช่น Intel SGX
แต่ในงานวิจัยครั้งนี้ ทีมวิจัยสามารถใช้ PLATYPUS เพื่อ Bypass ระบบรักษาความมั่นคงปลอดภัยดังกล่าวได้ โดยในการทดสอบนั้นทีมวิจัยพบว่าสามารถทำการตรวจสอบการใช้พลังงานของระบบเพียง 20 วินาทีก็สามารถทำการ Bypass KASLR ได้สำเร็จแล้ว ส่วนการเข้าถึง RSA Private Key จาก SGX Enclave นั้นจะต้องใช้เวลาในการตรวจสอบข้อมูลใน RAPL ถึง 100 นาที โดยสำหรับการเข้าถึง AES-NI Encyrption Key จาก SGX Enclave และ Linux Kernel นั้นจะต้องใช้เวลาถึง 23 ชั่วโมงเลยทีเดียว
จุดหนึ่งที่น่าสนใจก็คือการโจมตีนี้ส่งผลกระทบกับ Linux Kernel มากที่สุดเพราะภายใน Linux Kernel นั้นจะมี Powercap Framework ซึ่งเป็น Universal Driver สำหรับเชื่อมต่อกับ RAPL Interface และ Power Capping API อื่นๆ โดยเฉพาะ ทำให้สามารถใช้ในการโจมตีนี้ได้ทันที ส่วนสำหรับ Windows และ macOS นั้นจะทำได้เฉพาะกรณีที่มีการติดตั้ง Intel Power Gadgets เท่านั้น
ทางด้าน Intel นั้นได้รับข้อมูลจากทีมนักวิจัยแล้ว และได้มีการอัปเดต Microcode (CPU Firmware) อัปเดตรุ่นใหม่ออกมาแล้วในวันนี้ ซึ่งก็เริ่มมีผู้พัฒนาระบบปฏิบัติการได้ทำการอัปเดต Kernel ตามมาเพื่อป้องกันไม่ให้มีการเข้าถึง RAPL ได้โดยง่ายแล้ว โดยรหัสของช่องโหว่นี้ได้แก่ CVE-2020-8694 (Linux+Intel), CVE-2020-8695 (Intel) และ CVE-2020-12912 (Linux+AMD)
ปัจจุบันนี้ยังไม่พบการโจมตีนี้ถูกใช้แต่อย่างใด และแนวทางการโจมตีในรูปแบบเดียวกันนี้ก็อาจเกิดขึ้นได้บนผู้ผลิต CPU รายอื่นด้วยเช่นกัน
ที่มา: https://www.zdnet.com/article/new-platypus-attack-can-steal-data-from-intel-cpus/
