พบช่องโหว่ ‘Thunderclap’ กระทบทั้ง Windows Mac และ Linux

ที่งานสัมนา NDSS 2019 ได้มีการเผยถึงช่องโหว่ Thunderclap ซึ่งเกิดขึ้นกับ Hardware interface ภายใต้ชื่อ Thunderbolt ที่ถูกพัฒนาโดย Apple และ Intel ด้วยเหตุนี้จึงส่งผลกระทบเป็นวงกว้างกับแลปท็อปและเดสก์ท็อปของ Apple ตั้งแต่ปี 2011 เป็นต้นมายกเว้นรุ่นเดียวคือ Macbook ขนาด 12 นิ้ว เช่นเดียวกันแลปท็อปและเดสก์ท็อปที่ใช้งาน Windows และ Linux ตั้งแต่ปี 2016 ที่รองรับ Thunderbolt ต่างได้รับผลกระทบไปตามกัน

credit : wikipedia

Thunderbolt คือชื่อแบรนด์ Hardware Interface ที่เกิดจากความร่วมมือระหว่าง Apple และ Intel เพื่อช่วยในเรื่องของการเชื่อมต่ออุปกรณ์ภายนอกซึ่งข้อดีคือช่องเดียวทำได้หลายอย่างทั้งส่งไฟ DC หรือส่งข้อมูล แม้กระทั่งเป็นเอ้าพุตน์วีดีโอ หรือก็คือพอร์ต Mini Display Port (MDP) และ Thunderbolt 3 ก็คือ USB-C นั่นเอง (ชมภาพประกอบได้ตามด้านบน)

ประเด็นก็คือนักวิจัยใช้ช่องโหว่ Thunderclap จากการออกแบบระบบปฏิบัติการที่ยอมเชื่อมต่ออุปกรณ์ภายนอกอัตโนมัติและอนุญาตให้เข้าถึงหน่วยความจำทั้งหมด (Direct Memory Accesss หรือ DMA) ด้วยเหตุนี้เองจึงอาจเป็นช่องทางให้คนร้ายสามารถนำอุปกรณ์เชื่อมต่อผ่านพอร์ต Thunderbolt เพื่อลอบรันโค้ดอันตรายไว้เบื้องหลังโดยปราศจากการจำกัดของระบบปฏิบัติการได้

อันที่จริงแล้วระบบปฏิบัติการมีฟีเจอร์ป้องกันที่ชื่อ Input-output Memory Management (IOMMUs) ที่ถูกสร้างขึ้นตั้งแต่ต้นยุค 2000 ไว้แล้วเพื่อป้องกันไม่ให้อุปกรณ์เชื่อมต่อภายนอกสามารถเข้าถึงหน่วยความจำของระบบปฏิบัติการทั้งหมด (DMA Attack) แต่ปัญหาคือระบบปฏิบัติการมีการปิดฟีเจอร์นี้ไว้เป็นค่า Default หรือแม้ว่าผู้ใช้จะเปิดแล้วแต่ระบบปฏิบัติการก็มีการปล่อยข้อมูลผู้ใช้งานไว้ใน Memory Space ที่แฮ็กเกอร์สามารถเข้าไปรันโค้ดอันตรายได้ทำให้ฟีเจอร์นี้ไร้ค่าเพราะการจัดการระบบปฏิบัติการไม่ดีเอง

credit : zdnet

อย่างไรก็ตามเรื่องนี้ไม่ใช่ช่องโหว่ใหม่เพราะในปี 2016 มีทีมนักวิจัยได้เปิดเผยถึงปัญหาดังกล่าวแล้วซึ่งแสดงให้เห็นว่าการแก้ปัญหาเป็นไปได้ช้ามากจนผลงานวิจัยนี้จึงยังใช้การได้อยู่ โดยนักวิจัยได้เปิดเผยถึงสถานการณ์ของการป้องกันช่องโหว่จากระบบปฏิบัติการต่างๆ ในปัจจุบันดังนี้ (ชมภาพประกอบได้ตามด้านบน)

  • Windows – เปิดฟีเจอร์ IOMMUs แล้วกับ Windows 10 เวอร์ชัน 1803 ที่ออกในปี 2018 เป็นต้นมาซึ่งการอัปเกรตฮาร์ดแวร์เป็น 1803 รุ่นก่อนหน้าหลายตัวต้องอาศัยการอัปเดต Firmware จาก Vendor ร่วมด้วย ดังนั้นค่อนข้างยุ่งยากทีเดียว
  • macOS – เวอร์ชัน 10.12.4 ขึ้นมามีการแก้ไขปัญหาช่องโหว่บางส่วนที่ระบุไปได้แล้วแต่ไม่ใช่ทั้งหมด 
  • Linux – ได้รับแพตช์จาก Intel กับ Kernel 5.0 แล้วเพื่อเปิด IOMMUs กับ Thunderbolt พร้อมกับใช้ฟีเจอร์ ATS ของ PCI Express เพื่อป้องกันการบายพาส
  • FreeBSD – บอกว่าปัญหาไม่อยู่ในขอบเขตแต่ระบบปฏิบัติการล่าสุดก็ไม่ได้รองรับ Thunderbolt Hotplugging แล้ว

แนวทางการป้องกันตอนนี้นักวิจัยแนะว่าให้ผู้ใช้ปิดพอร์ต Thunderbolt ผ่านทาง BIOS/UEFI Firmware เพื่อป้องกันการเชื่อมต่อจากอุปกรณ์ภายนอกที่ไม่น่าไว้ใจ สำหรับใครที่สนใจอ่านงานวิจัยต่อสามารถเข้าชมได้ที่นี่ หรือ ที่นี่ หรือชม PoC จากทีมนักวิจัยบน GitHub ได้

ที่มา : https://www.zdnet.com/article/thunderclap-flaws-impact-how-windows-mac-linux-handle-thunderbolt-peripherals/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

VMware แนะนำการเลือกใช้ vSphere CPU Scheduler ให้เหมาะกับระดับความปลอดภัยของ VM ที่ต้องการ

ในช่วงที่ผ่านมานี้เราได้เห็นช่องโหว่ในระดับ CPU ที่ทำให้เกิดปัญหาการเข้าถึงข้อมูลข้าม Process กันค่อนข้างมาก และกลายเป็นประเด็นใหญ่ในวงการ IT กันมาอย่างต่อเนื่อง ทาง VMware จึงได้ทำการออกแนวทางการเลือกใช้ vSphere CPU Scheduler สำหรับแต่ละ VM ซึ่งแต่ละวิธีการนั้นก็จะมีข้อดีข้อเสียและรูปแบบการใช้งานที่เหมาะสมกับระดับของความมั่นคงปลอดภัยที่แตกต่างกันออกไป ทาง TechTalkThai จึงขอนำมาสรุปเป็นภาษาไทยให้ผู้อ่านทุกท่านได้เลือกไปใช้เป็นแนวทางกันดังนี้ครับ

ผู้ใช้งานพบ Google ติดตามการซื้อสินค้าผ่าน Gmail ทาง Google ระบุทำไปเพื่อให้ผู้ใช้งานติดตามการซื้อขายของตนเองได้ง่ายๆ เท่านั้น

เมื่อสัปดาห์ที่ผ่านมา มีผู้ใช้งานบน Reddit ได้ออกมาเผยถึงการค้นพบว่า Google นั้นมีการตรวจสอบเนื้อหาภายใน Gmail ว่าผู้ใช้งานแต่ละคนมีการซื้อสินค้าใดเกิดขึ้นบ้าง และทำเป็นหน้าสรุปการซื้อขายทั้งหมดที่เกิดขึ้นและมีการยืนยันผ่าน Gmail ในบัญชีนั้นๆ