Turning Tables วิธีการใหม่เพื่อบายพาสการป้องกันของ Kernel ใน Windows

Omri Misgav และ Udi Yavo นักวิจัยด้านความมั่นคงปลอดภัยจาก enSilo ได้แสดงผลงานวิธีการใหม่ที่สามารถบายพาสการป้องกันของ Windows Kernel ได้โดยให้ชื่อว่า ‘Turning Tables’ เพื่อใช้ช่องโหว่ใน Page Table นั่นเอง

ถ้ายังจำกันได้ในวิชา OS บทเรื่อง Memory Management จะมีการอ้างถึง Page Table ที่เป็น Data Structure ตัวหนึ่งที่เก็บการ Mapping ระหว่าง Virtual Memory และ Physical Memory โดย Virtual Address ใช้สำหรับโปรแกรมที่ถูก Execute โดยโปรเซสของ OS และ Physical Address ถูกใช้โดยส่วนประกอบของ Hardware หรือ Memory Unit นั่นเอง เนื่องจากพื้นที่ของ Physical Memory มีจำกัดตัว OS จะต้องมีกระบวนการจัดเก็บโค้ดของหลายโปรเซสที่เหมือนกันเรียกว่า “Share Code Page” (ตัวอย่างจากใน ‘หนังสือ Operating system concepts’ คือ มีผู้ใช้ 40 คนต้องการ Execute Text Editor ดังนั้นตัวโค้ดที่เหมือนกันจะสามารถแชร์กันได้)

วิธีการ Turning Table ของนักวิจัยคือสร้างโค้ดอันตรายเพื่อไปแก้ไข Share Code Page เพื่อส่งผลกระทบกับการ Execute โปรเซสอื่นและบางส่วนจะมีสิทธิ์สูงขึ้น อธิบายง่ายๆ คือวิธีการนี้ช่วยให้แฮ็กเกอร์ยกระดับสิทธิ์การโจมตีของโค้ดตัวเองได้ เช่น ระดับ System นอกจากนี้นักวิจัยยังได้อ้างว่าสามารถแก้ไขแอปพลิเคชันที่รันอยู่ใน Sandbox ที่ปกติแล้วถูกใช้เพื่อแยกสภาพแวดล้อมในการป้องกันแอปไม่ให้ถูกโจมตี ตัวอย่างเช่น วิธีการนี้สามารถ Poison Browser ที่มีการทำ Sandbox อย่าง Chrome ได้

อย่างไรก็ตามคอนเซปต์ของ Page Table ถูกใช้โดย Apple และ Linux ด้วย (นึกสภาพคอนเซปต์ต่างๆ ที่เรียนกันมักไม่ยึดติดกับผลิตภัณฑ์หรือยี่ห้ออยู่แล้วเพราะคือคอนเซปต์การแก้ปัญหาในการออกแบบ OS) ดังนั้นความจริงตรงนี้อาจจะส่งผลกระทบวงกว้างได้ แม้ว่านักวิจัยยังไม่ได้ยืนยันผลลัพธ์ แต่ที่แน่ๆ Turning Table จะสามารถลัดผ่านการป้องกันด้านความมั่นคงปลอดภัยในระดับ Kernel ของ Windows สมัยใหม่ได้เช่น  Windows 7,8.1,10 ตามตารางด้านบน ผู้สนใจสามารถชมวีดีโอการสาธิตได้ตามด้านล่างครับพร้อมกับสไลด์นำเสนอได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/new-turning-tables-technique-bypasses-all-windows-kernel-mitigations/