พบช่องโหว่ ‘Thunderclap’ กระทบทั้ง Windows Mac และ Linux

ที่งานสัมนา NDSS 2019 ได้มีการเผยถึงช่องโหว่ Thunderclap ซึ่งเกิดขึ้นกับ Hardware interface ภายใต้ชื่อ Thunderbolt ที่ถูกพัฒนาโดย Apple และ Intel ด้วยเหตุนี้จึงส่งผลกระทบเป็นวงกว้างกับแลปท็อปและเดสก์ท็อปของ Apple ตั้งแต่ปี 2011 เป็นต้นมายกเว้นรุ่นเดียวคือ Macbook ขนาด 12 นิ้ว เช่นเดียวกันแลปท็อปและเดสก์ท็อปที่ใช้งาน Windows และ Linux ตั้งแต่ปี 2016 ที่รองรับ Thunderbolt ต่างได้รับผลกระทบไปตามกัน

credit : wikipedia

Thunderbolt คือชื่อแบรนด์ Hardware Interface ที่เกิดจากความร่วมมือระหว่าง Apple และ Intel เพื่อช่วยในเรื่องของการเชื่อมต่ออุปกรณ์ภายนอกซึ่งข้อดีคือช่องเดียวทำได้หลายอย่างทั้งส่งไฟ DC หรือส่งข้อมูล แม้กระทั่งเป็นเอ้าพุตน์วีดีโอ หรือก็คือพอร์ต Mini Display Port (MDP) และ Thunderbolt 3 ก็คือ USB-C นั่นเอง (ชมภาพประกอบได้ตามด้านบน)

ประเด็นก็คือนักวิจัยใช้ช่องโหว่ Thunderclap จากการออกแบบระบบปฏิบัติการที่ยอมเชื่อมต่ออุปกรณ์ภายนอกอัตโนมัติและอนุญาตให้เข้าถึงหน่วยความจำทั้งหมด (Direct Memory Accesss หรือ DMA) ด้วยเหตุนี้เองจึงอาจเป็นช่องทางให้คนร้ายสามารถนำอุปกรณ์เชื่อมต่อผ่านพอร์ต Thunderbolt เพื่อลอบรันโค้ดอันตรายไว้เบื้องหลังโดยปราศจากการจำกัดของระบบปฏิบัติการได้

อันที่จริงแล้วระบบปฏิบัติการมีฟีเจอร์ป้องกันที่ชื่อ Input-output Memory Management (IOMMUs) ที่ถูกสร้างขึ้นตั้งแต่ต้นยุค 2000 ไว้แล้วเพื่อป้องกันไม่ให้อุปกรณ์เชื่อมต่อภายนอกสามารถเข้าถึงหน่วยความจำของระบบปฏิบัติการทั้งหมด (DMA Attack) แต่ปัญหาคือระบบปฏิบัติการมีการปิดฟีเจอร์นี้ไว้เป็นค่า Default หรือแม้ว่าผู้ใช้จะเปิดแล้วแต่ระบบปฏิบัติการก็มีการปล่อยข้อมูลผู้ใช้งานไว้ใน Memory Space ที่แฮ็กเกอร์สามารถเข้าไปรันโค้ดอันตรายได้ทำให้ฟีเจอร์นี้ไร้ค่าเพราะการจัดการระบบปฏิบัติการไม่ดีเอง

credit : zdnet

อย่างไรก็ตามเรื่องนี้ไม่ใช่ช่องโหว่ใหม่เพราะในปี 2016 มีทีมนักวิจัยได้เปิดเผยถึงปัญหาดังกล่าวแล้วซึ่งแสดงให้เห็นว่าการแก้ปัญหาเป็นไปได้ช้ามากจนผลงานวิจัยนี้จึงยังใช้การได้อยู่ โดยนักวิจัยได้เปิดเผยถึงสถานการณ์ของการป้องกันช่องโหว่จากระบบปฏิบัติการต่างๆ ในปัจจุบันดังนี้ (ชมภาพประกอบได้ตามด้านบน)

  • Windows – เปิดฟีเจอร์ IOMMUs แล้วกับ Windows 10 เวอร์ชัน 1803 ที่ออกในปี 2018 เป็นต้นมาซึ่งการอัปเกรตฮาร์ดแวร์เป็น 1803 รุ่นก่อนหน้าหลายตัวต้องอาศัยการอัปเดต Firmware จาก Vendor ร่วมด้วย ดังนั้นค่อนข้างยุ่งยากทีเดียว
  • macOS – เวอร์ชัน 10.12.4 ขึ้นมามีการแก้ไขปัญหาช่องโหว่บางส่วนที่ระบุไปได้แล้วแต่ไม่ใช่ทั้งหมด 
  • Linux – ได้รับแพตช์จาก Intel กับ Kernel 5.0 แล้วเพื่อเปิด IOMMUs กับ Thunderbolt พร้อมกับใช้ฟีเจอร์ ATS ของ PCI Express เพื่อป้องกันการบายพาส
  • FreeBSD – บอกว่าปัญหาไม่อยู่ในขอบเขตแต่ระบบปฏิบัติการล่าสุดก็ไม่ได้รองรับ Thunderbolt Hotplugging แล้ว

แนวทางการป้องกันตอนนี้นักวิจัยแนะว่าให้ผู้ใช้ปิดพอร์ต Thunderbolt ผ่านทาง BIOS/UEFI Firmware เพื่อป้องกันการเชื่อมต่อจากอุปกรณ์ภายนอกที่ไม่น่าไว้ใจ สำหรับใครที่สนใจอ่านงานวิจัยต่อสามารถเข้าชมได้ที่นี่ หรือ ที่นี่ หรือชม PoC จากทีมนักวิจัยบน GitHub ได้

ที่มา : https://www.zdnet.com/article/thunderclap-flaws-impact-how-windows-mac-linux-handle-thunderbolt-peripherals/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ