นักวิจัยเผย Side-channel Attack ที่ใช้ได้บน Windows และ Linux

ทีมนักวิจัยได้ตีพิมพ์ผลงานการโจมตีแบบ Side-channel ที่ไม่ขึ้นกับฮาร์ดแวร์โดยสนใจที่ส่วน Page Cache ของระบบปฏิบัติการ ทั้งนี้การโจมตีสามารถทำได้กับ Windows และ Linux ซึ่งผลลัพธ์ทำให้สามารถทราบว่าพิมพ์อะไรเข้ามาหรือใช้เพื่อลัดผ่าน Sandbox ได้ด้วย

Credit: ShutterStock.com

Cache คือสิ่งที่สร้างขึ้นเพื่อเก็บข้อมูลที่ใช้บ่อยเพราะการอ่านจากฮาร์ดดิสย่อมช้ากว่าแรมเพราะไกลกว่า โดยในส่วนของ Page Cache นั้นเป็นเรื่องของระบบปฏิบัติการที่ใช้ส่วนของ RAM ที่ไม่ได้ใช้เพื่อเพิ่มประสิทธิภาพซึ่งอยู่ในระดับ Kernel โดยนักวิจัยกล่าวว่า “Page Cache บางส่วนนั้นมีจุดประสงค์การใช้งานแตกต่างออกไป เช่น มีการใช้งานทั่วไปเพื่อเก็บส่วนของโค้ดหรือข้อมูลที่ถูกใช้

ประเด็นคือนักวิจัยได้อาศัยกระบวนการปกติที่มีทั้งบน Windows หรือ Linux ที่อนุญาตให้นักพัฒนาสามารถเข้าไปตรวจสอบเพจของหน่วยความจำที่อยู่ Page Cache ของระบบปฏิบัติการได้ ผ่านทาง System Call ที่ชื่อ mincore (Linux) และ QueryWorkingSetEx (Window) โดยนักวิจัยจะสามารถใช้โปรเซสอันตรายเพื่อทำการปลดปล่อยหน่วยความจำเก่าจาก Page Cache ของระบบปฏิบัติการได้และข้อมูลก็จะถูกเขียนกลับไปยังดิสก์ซึ่งตรงนี้เองจะเกิดข้อผิดพลาดขึ้นหลายประการหรือมีการโหลดเพจใหม่เข้าไปยัง Page Cache ทำให้นักวิจัยสามารถเดาได้ว่ามีข้อมูลอะไรกำลังถูกประมวลผลอยู่ในแอปพลิเคชันอื่น นอกจากนี้ยังได้เสนอว่าวิธีการของตนสามารถใช้แอบดูข้อมูลได้มากไม่เหมือนกับวิธีการ Side-channel อื่นคือมีขนาดประมาณ 4KB หรือสามารถทราบถึงการเคาะคียร์บอร์ด 6 ครั้งในวินาทีเดียว

อย่างไรก็ตามวิธีการนี้เป็นการโจมตีแบบ Local ที่รันโค้ดอันตรายบนเครื่องเหยื่อและแม้ว่านักวิจัยจะสามารถดัดแปลงการโจมตีนี้ให้ใช้แบบรีโมตได้แต่ก็ไม่สามารถลัดผ่านการป้องกันของ Sandbox ได้เพราะจำเป็นต้องปรับแต่งทางฮาร์ดแวร์ของเครื่องเสียก่อนซึ่งไม่ตรงกับคอนเซปต์ที่นำเสนอ (เพราะเขาเน้นการโจมตีเชิงซอฟต์แวร์บนฮาร์ดแวร์ได้ก็ได้) นอกจากนี้นักวิจัยได้แจ้งเรื่องกับทาง Microsoft และ Linux ให้ทำการแก้ไขแล้วก่อนเผยผลงานออกสาธารณะ ผู้สนใจสามารถอ่านงานวิจัยได้ที่นี่

ที่มา : https://www.zdnet.com/article/new-hardware-agnostic-side-channel-attack-works-against-windows-and-linux/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

GoDaddy ถูก FTC สั่งปรับปรุงระบบความปลอดภัย หลังพบข้อบกพร่องร้ายแรงตั้งแต่ปี 2018

FTC เปิดเผยว่า GoDaddy ไม่ได้ใช้มาตรการรักษาความปลอดภัยขั้นพื้นฐานมาตั้งแต่ปี 2018 รวมถึงไม่มีระบบ SIEM และ MFA ส่งผลให้เกิดการรั่วไหลของข้อมูลหลายครั้ง

แฮ็กเกอร์หน้าใหม่ ใจดีแจกฟรี FortiGate VPN Credential ของ 15,000 อุปกรณ์

Belsen Group กลุ่มแฮ็กเกอร์ที่เพิ่งปรากฏชื่อขึ้นในสื่อต่างๆ กำลังเรียกร้องความสนใจด้วยการแจกฟรีไฟล์ข้อมูลของ FortiGate ราว 15,000 อุปกรณ์ใน Dark Web ที่ภายในประกอบด้วย IP Address, VPN Credential …