พบช่องโหว่ ‘Thunderclap’ กระทบทั้ง Windows Mac และ Linux

ที่งานสัมนา NDSS 2019 ได้มีการเผยถึงช่องโหว่ Thunderclap ซึ่งเกิดขึ้นกับ Hardware interface ภายใต้ชื่อ Thunderbolt ที่ถูกพัฒนาโดย Apple และ Intel ด้วยเหตุนี้จึงส่งผลกระทบเป็นวงกว้างกับแลปท็อปและเดสก์ท็อปของ Apple ตั้งแต่ปี 2011 เป็นต้นมายกเว้นรุ่นเดียวคือ Macbook ขนาด 12 นิ้ว เช่นเดียวกันแลปท็อปและเดสก์ท็อปที่ใช้งาน Windows และ Linux ตั้งแต่ปี 2016 ที่รองรับ Thunderbolt ต่างได้รับผลกระทบไปตามกัน

Thunderbolt คือชื่อแบรนด์ Hardware Interface ที่เกิดจากความร่วมมือระหว่าง Apple และ Intel เพื่อช่วยในเรื่องของการเชื่อมต่ออุปกรณ์ภายนอกซึ่งข้อดีคือช่องเดียวทำได้หลายอย่างทั้งส่งไฟ DC หรือส่งข้อมูล แม้กระทั่งเป็นเอ้าพุตน์วีดีโอ หรือก็คือพอร์ต Mini Display Port (MDP) และ Thunderbolt 3 ก็คือ USB-C นั่นเอง (ชมภาพประกอบได้ตามด้านบน)

ประเด็นก็คือนักวิจัยใช้ช่องโหว่ Thunderclap จากการออกแบบระบบปฏิบัติการที่ยอมเชื่อมต่ออุปกรณ์ภายนอกอัตโนมัติและอนุญาตให้เข้าถึงหน่วยความจำทั้งหมด (Direct Memory Accesss หรือ DMA) ด้วยเหตุนี้เองจึงอาจเป็นช่องทางให้คนร้ายสามารถนำอุปกรณ์เชื่อมต่อผ่านพอร์ต Thunderbolt เพื่อลอบรันโค้ดอันตรายไว้เบื้องหลังโดยปราศจากการจำกัดของระบบปฏิบัติการได้

อันที่จริงแล้วระบบปฏิบัติการมีฟีเจอร์ป้องกันที่ชื่อ Input-output Memory Management (IOMMUs) ที่ถูกสร้างขึ้นตั้งแต่ต้นยุค 2000 ไว้แล้วเพื่อป้องกันไม่ให้อุปกรณ์เชื่อมต่อภายนอกสามารถเข้าถึงหน่วยความจำของระบบปฏิบัติการทั้งหมด (DMA Attack) แต่ปัญหาคือระบบปฏิบัติการมีการปิดฟีเจอร์นี้ไว้เป็นค่า Default หรือแม้ว่าผู้ใช้จะเปิดแล้วแต่ระบบปฏิบัติการก็มีการปล่อยข้อมูลผู้ใช้งานไว้ใน Memory Space ที่แฮ็กเกอร์สามารถเข้าไปรันโค้ดอันตรายได้ทำให้ฟีเจอร์นี้ไร้ค่าเพราะการจัดการระบบปฏิบัติการไม่ดีเอง

อย่างไรก็ตามเรื่องนี้ไม่ใช่ช่องโหว่ใหม่เพราะในปี 2016 มีทีมนักวิจัยได้เปิดเผยถึงปัญหาดังกล่าวแล้วซึ่งแสดงให้เห็นว่าการแก้ปัญหาเป็นไปได้ช้ามากจนผลงานวิจัยนี้จึงยังใช้การได้อยู่ โดยนักวิจัยได้เปิดเผยถึงสถานการณ์ของการป้องกันช่องโหว่จากระบบปฏิบัติการต่างๆ ในปัจจุบันดังนี้ (ชมภาพประกอบได้ตามด้านบน)

• Windows – เปิดฟีเจอร์ IOMMUs แล้วกับ Windows 10 เวอร์ชัน 1803 ที่ออกในปี 2018 เป็นต้นมาซึ่งการอัปเกรตฮาร์ดแวร์เป็น 1803 รุ่นก่อนหน้าหลายตัวต้องอาศัยการอัปเดต Firmware จาก Vendor ร่วมด้วย ดังนั้นค่อนข้างยุ่งยากทีเดียว
• macOS – เวอร์ชัน 10.12.4 ขึ้นมามีการแก้ไขปัญหาช่องโหว่บางส่วนที่ระบุไปได้แล้วแต่ไม่ใช่ทั้งหมด 
• Linux – ได้รับแพตช์จาก Intel กับ Kernel 5.0 แล้วเพื่อเปิด IOMMUs กับ Thunderbolt พร้อมกับใช้ฟีเจอร์ ATS ของ PCI Express เพื่อป้องกันการบายพาส
• FreeBSD – บอกว่าปัญหาไม่อยู่ในขอบเขตแต่ระบบปฏิบัติการล่าสุดก็ไม่ได้รองรับ Thunderbolt Hotplugging แล้ว

แนวทางการป้องกันตอนนี้นักวิจัยแนะว่าให้ผู้ใช้ปิดพอร์ต Thunderbolt ผ่านทาง BIOS/UEFI Firmware เพื่อป้องกันการเชื่อมต่อจากอุปกรณ์ภายนอกที่ไม่น่าไว้ใจ สำหรับใครที่สนใจอ่านงานวิจัยต่อสามารถเข้าชมได้ที่นี่ หรือ ที่นี่ หรือชม PoC จากทีมนักวิจัยบน GitHub ได้

ที่มา : https://www.zdnet.com/article/thunderclap-flaws-impact-how-windows-mac-linux-handle-thunderbolt-peripherals/