Black Hat Asia 2021

นักวิจัยเผยการโจมตี PLATYPUS ขโมยข้อมูลใน Intel CPU ได้จากการตรวจสอบการใช้พลังงานของ CPU

นักวิจัยได้ออกมาค้นพบถึงแนวทางการโจมตีรูปแบบใหม่ที่อาศัย Interface ในการตรวจสอบการใช้พลังงานบนหน่วยประมวลผลของ Intel เพื่อช่วยในการเข้าถึงข้อมูลสำคัญบน CPU ได้ ซึ่งทาง Intel ก็ได้ทำการอัปเดต Patch แก้ไขปัญหาดังกล่าวนี้แล้ว และผู้พัฒนาระบบปฏิบัติการทั่วโลกเองก็กำลังออกอัปเดตตามมาเช่นกัน

ทีมนักวิจัยจาก Graz University of Technology, University of Birmingham และ CISPA Helmholtz Center for Information Security ได้ออกมาเผยถึงการโจมตี PLATYPUS นี้ว่าชื่อนี้ย่อมาจาก Power Leakage Attacks: Targeting Your Protected User Secrets โดยอาศัย Running Average Power Limit (RAPL) Interface ที่มีอยู่บน Intel CPU มายาวนานหลายปีในการโจมตี

RAPL นี้จะทำหน้าที่เป็นตัวเชื่อมประสานเพื่อเปิดให้ Firmware สามารถทำการตรวจสอบการใช้พลังงานบน CPU และ DRAM ได้ ซึ่งทีมนักวิจัยก็ได้ทำการตรวจสอบถึงรูปแบบที่เกิดขึ้นในการใช้พลังงานที่แตกต่างกันจากการเรียกใช้แต่ละคำสั่ง จนสามารถจับรูปแบบได้ว่าเมื่อใดบ้างที่จะมีการนำข้อมูลสำคัญอย่างเช่น Encryption Key, Password, เอกสารสำคัญ หรือข้อมูลอื่นๆ มาโหลดเก็บไว้

โดยปกติแล้วข้อมูลความลับสำคัญเหล่านี้ที่ถูกโหลดนำมาเก็บไว้นั้นมักจะมีเทคโนโลยีที่ถูกออกแบบมาเพื่อป้องกันไม่ให้ผู้โจมตีเข้าถึงได้อยู่แล้ว อย่างเช่นการใช้เทคนิค Kernel Address Space Layout Randomization (KASLR) หรือการใช้ Hardware-Isolated Trusted Execution Environment (TEE) อย่างเช่น Intel SGX

แต่ในงานวิจัยครั้งนี้ ทีมวิจัยสามารถใช้ PLATYPUS เพื่อ Bypass ระบบรักษาความมั่นคงปลอดภัยดังกล่าวได้ โดยในการทดสอบนั้นทีมวิจัยพบว่าสามารถทำการตรวจสอบการใช้พลังงานของระบบเพียง 20 วินาทีก็สามารถทำการ Bypass KASLR ได้สำเร็จแล้ว ส่วนการเข้าถึง RSA Private Key จาก SGX Enclave นั้นจะต้องใช้เวลาในการตรวจสอบข้อมูลใน RAPL ถึง 100 นาที โดยสำหรับการเข้าถึง AES-NI Encyrption Key จาก SGX Enclave และ Linux Kernel นั้นจะต้องใช้เวลาถึง 23 ชั่วโมงเลยทีเดียว

จุดหนึ่งที่น่าสนใจก็คือการโจมตีนี้ส่งผลกระทบกับ Linux Kernel มากที่สุดเพราะภายใน Linux Kernel นั้นจะมี Powercap Framework ซึ่งเป็น Universal Driver สำหรับเชื่อมต่อกับ RAPL Interface และ Power Capping API อื่นๆ โดยเฉพาะ ทำให้สามารถใช้ในการโจมตีนี้ได้ทันที ส่วนสำหรับ Windows และ macOS นั้นจะทำได้เฉพาะกรณีที่มีการติดตั้ง Intel Power Gadgets เท่านั้น

ทางด้าน Intel นั้นได้รับข้อมูลจากทีมนักวิจัยแล้ว และได้มีการอัปเดต Microcode (CPU Firmware) อัปเดตรุ่นใหม่ออกมาแล้วในวันนี้ ซึ่งก็เริ่มมีผู้พัฒนาระบบปฏิบัติการได้ทำการอัปเดต Kernel ตามมาเพื่อป้องกันไม่ให้มีการเข้าถึง RAPL ได้โดยง่ายแล้ว โดยรหัสของช่องโหว่นี้ได้แก่ CVE-2020-8694 (Linux+Intel), CVE-2020-8695 (Intel) และ CVE-2020-12912 (Linux+AMD)

ปัจจุบันนี้ยังไม่พบการโจมตีนี้ถูกใช้แต่อย่างใด และแนวทางการโจมตีในรูปแบบเดียวกันนี้ก็อาจเกิดขึ้นได้บนผู้ผลิต CPU รายอื่นด้วยเช่นกัน

ที่มา: https://www.zdnet.com/article/new-platypus-attack-can-steal-data-from-intel-cpus/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] SysMaster เครื่องมือในการตรวจสอบ DBMS สำหรับการวิเคราะห์ และการป้องกันความล้มเหลวของข้อมูลจาก TmaxSoft

หน้าที่หลักของผู้ดูแลระบบฐานข้อมูล คือ การบริหารจัดการให้ระบบฐานข้อมูลพร้อมใช้งานอยู่เสมอ อีกทั้งยังต้องหมั่นตรวจสอบปริมาณการใช้งานทรัพยากรต่างๆ ของ Database Server เพื่อใช้เป็นข้อมูลในการวิเคราะห์สถานการณ์ในการทำงานและอัตราการเติบโตของข้อมูล เพื่อป้องกันไม่ให้ระบบเกิดความล่าช้าในการเข้าถึงข้อมูล และข้อมูลต้องมีความพร้อมใช้งานตลอดเวลา

[BHAsia 2021] 3 เหตุผลที่เด็กจบใหม่ในประเทศที่สอดแนมประชาชน จึงไม่ค่อยเลือกสายงานด้าน Cybersecurity

แทบจะเรียกได้ว่าในยุคอินเทอร์เน็ตที่ร้อนแรงนี้ ตำแหน่งงานด้าน Cybersecurity มีความต้องการสูงมากทั่วโลกเลยก็ว่าได้ ซึ่งนับเพียงแค่ในภูมิภาค APAC เองก็มีความต้องหลายถึงหลายล้านอัตรา แต่ก็มีความเป็นไปได้บางอย่างจากประสบการณ์ของคุณ Mika Devonshire โดยเธอเคยทำงานเป็นอาจารย์สอนที่มหาวิทยาลัยฮ่องกง ซึ่งหลังจากได้แลกเปลี่ยนความคิดกับนักเรียนหลายคนเธอจึงได้สรุปประเด็น 3 ข้อว่า ทำไมนักเรียนในประเทศที่มีการสอดแนมประชาชนจึงไม่ค่อยสนใจในอาชีพด้าน …