Remote Butler Attack: เมื่อ Full Disk Encryption ของ Windows มีช่องโหว่

Tal Be’ery และ Chaim Hoch นักวิจัยด้านความมั่นคงปลอดภัย ออกมาเปิดเผยถึงการโจมตีที่พัฒนาต่อยอดจาก Evil Maid Attack ซึ่งช่วยให้แฮ็คเกอร์สามารถบายพาสระบบพิสูจน์ตัวตนของ Windows และขโมยข้อมูลจากดิสก์ที่ถูกเข้ารหัสแบบ Full Disk Encryption ได้ เรียกการโจมตีนี้ว่า Remote Butler Attack

evilmaid_remotebutler_1

Be’ery และ Hoch สาธิตการโจมตีดังกล่าวในงานประชุม Black Hat USA 2016 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา ซึ่งจุดเด่นของ Remote Butler Attack ที่เหนือกว่า Evil Maid Attack คือ สามารถโจมตีช่องโหว่ได้โดยที่แฮ็คเกอร์ไม่จำเป็นต้องเข้าถึงตัวเครื่องคอมพิวเตอร์จริงๆ (เชิงกายภาพ) เพียงแค่อยู่ในโดเมนเดียวกัน เช่น Virtual Network ก็สามารถเข้าถึงข้อมูลบนบนคอมพิวเตอร์เครื่องนั้นๆ ได้ ถึงแม้ว่าดิสก์จะถูกเข้ารหัสแบบ Full Disk Encryption โดย BitLocker ก็ตาม

การโจมตีนี้ถูกเรียกว่า Remote Butler เนื่องจาก แต่เดิมการโจมตีคือ Evil Maid ซึ่งสื่อถึงว่า ถ้าแขกเผลอปล่อยคอมพิวเตอร์ทิ้งไว้ในห้อง แม้แต่แม่บ้านของโรงแรมก็สามารถทำการโจมตีนี้ได้ ดังนั้น การโจมตีที่อัพเกรดขึ้นมาจึงถูกเรียกว่า “การโจมตีระยะไกลของพ่อบ้าน (Remote Butler Attack)”

ข่าวดีคือ Microsoft ได้ออกแพทช์เพื่ออุดช่องโหว่ของ Evil Maid Attack เป็นที่เรียบร้อยตั้งแต่เมื่อเดือนกุมภาพันธ์ 2016 ที่ผ่านมา ซึ่งแพทช์ดังกล่าวสามารถป้องกัน Remote Butler Attack ได้ด้วยเช่นกัน แต่นักวิจัยทั้ง 2 คนระบุว่า ถึงจะมีแพทช์ออกมาแล้ว แต่ก็ใช่ว่าทุกองค์กรจะทำการอัปเดต การที่ทำให้ Evil Maid Attack ไม่จำเป็นต้องเข้าถึงตัวอุปกรณ์จริงๆ ได้ เรียกว่าเป็นความฝันของกลุ่มแฮ็คเกอร์ที่โจมตีแบบ APT อย่างแท้จริง

รายละเอียดเพิ่มเติม: https://www.blackhat.com/docs/us-16/materials/us-16-Beery-The-Remote-Malicious-Butler-Did-It-wp.pdf

ที่มา: https://www.helpnetsecurity.com/2016/08/08/remote-butler-attack/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Intel พัฒนาชิปใหม่ ช่วยป้องกันการโจมตีด้วยฮาร์ดแวร์

Intel เผยโครงการพัฒนาชิปใหม่ Tunable Replica Circuit (TRC) ซึ่งออกแบบมาใช้สำหรับป้องกันการโจมตีทางไซเบอร์ที่ใช้ฮาร์ดแวร์เป็นเส้นทางในการโจมตี โดยมีความสามารถในการตรวจจับการโจมตีทั่วไปที่เกิดจาก Hardware-based ได้ และสามารถแจ้งผู้ดูแลระบบในทราบถึงเหตุการณ์ที่เกิด พร้อมกับช่วยป้องกันกันการโจมตีนั้นๆ

Cisco โดนแฮ็กโดยแก๊งแรนซัมแวร์ Yanluowang

Cisco ออกมายอมรับว่า ได้ถูกแก๊งแรนซัมแวร์ Yanluowang ลุกล้ำเข้ามาในเครือข่ายขององค์กรจริง เหตุการณ์เกิดขึ้นเมื่อช่วงปลายเดือนพฤษภาคมที่ผ่านมา และยังถูกรีดไถจากไฟล์ข้อมูลที่ถูกโจรกรรมออกไป