เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

นักวิจัยเผยการโจมตี PLATYPUS ขโมยข้อมูลใน Intel CPU ได้จากการตรวจสอบการใช้พลังงานของ CPU

นักวิจัยได้ออกมาค้นพบถึงแนวทางการโจมตีรูปแบบใหม่ที่อาศัย Interface ในการตรวจสอบการใช้พลังงานบนหน่วยประมวลผลของ Intel เพื่อช่วยในการเข้าถึงข้อมูลสำคัญบน CPU ได้ ซึ่งทาง Intel ก็ได้ทำการอัปเดต Patch แก้ไขปัญหาดังกล่าวนี้แล้ว และผู้พัฒนาระบบปฏิบัติการทั่วโลกเองก็กำลังออกอัปเดตตามมาเช่นกัน

ทีมนักวิจัยจาก Graz University of Technology, University of Birmingham และ CISPA Helmholtz Center for Information Security ได้ออกมาเผยถึงการโจมตี PLATYPUS นี้ว่าชื่อนี้ย่อมาจาก Power Leakage Attacks: Targeting Your Protected User Secrets โดยอาศัย Running Average Power Limit (RAPL) Interface ที่มีอยู่บน Intel CPU มายาวนานหลายปีในการโจมตี

RAPL นี้จะทำหน้าที่เป็นตัวเชื่อมประสานเพื่อเปิดให้ Firmware สามารถทำการตรวจสอบการใช้พลังงานบน CPU และ DRAM ได้ ซึ่งทีมนักวิจัยก็ได้ทำการตรวจสอบถึงรูปแบบที่เกิดขึ้นในการใช้พลังงานที่แตกต่างกันจากการเรียกใช้แต่ละคำสั่ง จนสามารถจับรูปแบบได้ว่าเมื่อใดบ้างที่จะมีการนำข้อมูลสำคัญอย่างเช่น Encryption Key, Password, เอกสารสำคัญ หรือข้อมูลอื่นๆ มาโหลดเก็บไว้

โดยปกติแล้วข้อมูลความลับสำคัญเหล่านี้ที่ถูกโหลดนำมาเก็บไว้นั้นมักจะมีเทคโนโลยีที่ถูกออกแบบมาเพื่อป้องกันไม่ให้ผู้โจมตีเข้าถึงได้อยู่แล้ว อย่างเช่นการใช้เทคนิค Kernel Address Space Layout Randomization (KASLR) หรือการใช้ Hardware-Isolated Trusted Execution Environment (TEE) อย่างเช่น Intel SGX

แต่ในงานวิจัยครั้งนี้ ทีมวิจัยสามารถใช้ PLATYPUS เพื่อ Bypass ระบบรักษาความมั่นคงปลอดภัยดังกล่าวได้ โดยในการทดสอบนั้นทีมวิจัยพบว่าสามารถทำการตรวจสอบการใช้พลังงานของระบบเพียง 20 วินาทีก็สามารถทำการ Bypass KASLR ได้สำเร็จแล้ว ส่วนการเข้าถึง RSA Private Key จาก SGX Enclave นั้นจะต้องใช้เวลาในการตรวจสอบข้อมูลใน RAPL ถึง 100 นาที โดยสำหรับการเข้าถึง AES-NI Encyrption Key จาก SGX Enclave และ Linux Kernel นั้นจะต้องใช้เวลาถึง 23 ชั่วโมงเลยทีเดียว

จุดหนึ่งที่น่าสนใจก็คือการโจมตีนี้ส่งผลกระทบกับ Linux Kernel มากที่สุดเพราะภายใน Linux Kernel นั้นจะมี Powercap Framework ซึ่งเป็น Universal Driver สำหรับเชื่อมต่อกับ RAPL Interface และ Power Capping API อื่นๆ โดยเฉพาะ ทำให้สามารถใช้ในการโจมตีนี้ได้ทันที ส่วนสำหรับ Windows และ macOS นั้นจะทำได้เฉพาะกรณีที่มีการติดตั้ง Intel Power Gadgets เท่านั้น

ทางด้าน Intel นั้นได้รับข้อมูลจากทีมนักวิจัยแล้ว และได้มีการอัปเดต Microcode (CPU Firmware) อัปเดตรุ่นใหม่ออกมาแล้วในวันนี้ ซึ่งก็เริ่มมีผู้พัฒนาระบบปฏิบัติการได้ทำการอัปเดต Kernel ตามมาเพื่อป้องกันไม่ให้มีการเข้าถึง RAPL ได้โดยง่ายแล้ว โดยรหัสของช่องโหว่นี้ได้แก่ CVE-2020-8694 (Linux+Intel), CVE-2020-8695 (Intel) และ CVE-2020-12912 (Linux+AMD)

ปัจจุบันนี้ยังไม่พบการโจมตีนี้ถูกใช้แต่อย่างใด และแนวทางการโจมตีในรูปแบบเดียวกันนี้ก็อาจเกิดขึ้นได้บนผู้ผลิต CPU รายอื่นด้วยเช่นกัน

ที่มา: https://www.zdnet.com/article/new-platypus-attack-can-steal-data-from-intel-cpus/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงานสัมมนาออนไลน์ Realize the simple to manage your SDDC with VMware vRealize Suite

การบริหารจัดการ Infrastructure ในปัจจุบันมีความซับซ้อนอย่างยิ่ง สาเหตุเพราะองค์กรไม่ได้พึ่งพาแค่ดาต้าเซ็นเตอร์เพียงแห่งเดียวอีกต่อไป ด้วยเหตุนี้ VMware จึงได้จัดสัมมนาขึ้นในวันที่ 27 ตุลาคม 2563 ที่ผ่านมาเพื่อเผยแพร่ความรู้เกี่ยวกับโซลูชัน vRealize Suite ซึ่งจะช่วยเปลี่ยนภาพการบริหารจัดการ Infrastructure …

สรุปงานสัมมนาออนไลน์ VMware vSAN 101: Back to the Future

เมื่อวันศุกร์ที่ 11 กันยายนที่ผ่านทาง VMware ได้จัดสัมมนาออนไลน์ขึ้นในหัวข้อ “VMware vSAN 101: Back to the Future” โดยสำหรับท่านที่พลาดเข้าชมในเวลานั้น ทางทีมงาน TechTalkThai …