TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Perception Point บริษัท Startup ทางด้าน Security จากอิสราเอล ได้ออกมาประกาศถึงช่องโหว่ Zero-day ที่เพิ่งค้นพบซึ่งเปิดให้ผู้โจมตีสามารถยกระดับสิทธิ์ตัวเองเป็น Root ได้ และคาดว่าอุปกรณ์ Linux ทั่วโลกกว่า 66% จะได้รับผลกระทบจากช่องโหว่นี้
ช่องโหว่นี้เกี่ยวข้องกับ Memory-leak และถูกกำหนดให้เป็นช่องโหว่รหัส CVE-2016-0728 ซึ่งช่องโหว่นี้พบว่ามีผลกระทบมาตั้งแต่ปี 2012 บน Linux Kernel รุ่น 3.8 ทั้งแบบ 32-bit และ 64-bit เคราะห์ยังดีที่ยังไม่มีข่าวคราวของการโจมตีด้วยช่องโหว่นี้อย่างรุนแรงเกิดขึ้นแต่อย่างใด แต่ก็อาจมีการเปิดเผยถึงการโจมตีด้วยช่องโหว่นี้ขึ้นมาในอนาคตได้
ข่าวดีก็คือทาง Linux, Red Hat และ SUSE เตรียมออก Patch อุดช่องโหว่แล้วหลังได้รับการแจ้งเตือนนี้ แต่ข่าวร้ายตกเป็นของผู้ใช้งาน Android ทั่วโลกเพราะ Google ยังไม่ออกมายืนยันกำหนดการ Patch แต่อย่างใด ดังนั้นผู้ใช้งานทุกคนจึงควรระมัดระวังเป็นพิเศษในช่วงนี้ และรอติดตาม Patch กันดีๆ
สำหรับแนวทางคร่าวๆ ของช่องโหว่นี้ก็คือ การที่แต่ละ Process ของ Linux สามารถสร้าง Keyring ของตัวเองขึ้นมาได้ (อ่านเพิ่มเติมเกี่ยวกับ Keyring ที่ http://man7.org/linux/man-pages/man7/keyrings.7.html ) และยังสามารถทำการตั้ง Unique Name ขึ้นมาได้ และถ้าหากมีการตั้ง Unique Name ซ้ำกับที่ Keyring อื่นเคยใช้ไปแล้ว จะเกิด Error ที่บอกจำนวนว่า Keyring นั้นถูกอ้างถึงไปกี่ครั้งแล้ว
หัวใจของวิธีการโจมตีนี้ก็คือการทำให้ Keyring นั้นนับจำนวนครั้งที่ถูกอ้างถึงไปจน Overflow กลับมาเป็น 0 และเมื่อ Kernel เห็นว่า Keyring นี้ถูกอ้างถึง 0 ครั้ง ก็จะคิดว่า Keyring นี้ไม่เป็นที่ต้องการอีกต่อไป และเป็นช่องให้ผู้โจมตีสามารถเข้าควบคุม Keyring นี้เพื่อเอาไปใช้เข้าถึงข้อมูลที่เกี่ยวกับความปลอดภัยของระบบ และใช้ยกระดับสิทธิ์ของตัวเองขึ้นมาเป็น Root ได้นั่นเอง
ทั้งนี้การเปิดใช้งาน Supervisor Mode Execution Protection (SMEP) และ Supervisor Mode Access Prevention (SMAP) หรือการใช้ SELinux ก็จะทำให้การโจมตีด้วยวิธีการเหล่านี้ยากขึ้นมากจนถึงขั้นเป็นไปไม่ได้เลย
ที่มา: http://www.databreachtoday.asia/zero-day-flaw-found-in-linux-a-8808
