ด้วยการจำลองอุปกรณ์ Thunderbolt คุณจะสามารถเข้าถึงพื้นที่หน่วยความจำที่ได้รับการป้องกันได้ ในบางกรณี การโจมตีนี้เรียกว่า Thunderclap ช่วยให้คุณสามารถอ่านการรับส่งข้อมูลเครือข่ายที่เข้ารหัสและรันโค้ดที่กำหนดเองด้วยสิทธิ์ของผู้ดูแลระบบ
หากคุณมีพอร์ต Thunderbolt บนคอมพิวเตอร์ของคุณ คุณอาจประสบปัญหา กลุ่มนักวิจัยเพิ่งตีพิมพ์ผลการศึกษาซึ่งแสดงให้เห็นว่าอินเทอร์เฟซที่ได้รับความนิยมเพิ่มมากขึ้นเหล่านี้สามารถเข้าถึง RAM ของคอมพิวเตอร์ได้ บัพติศมา« ธันเดอร์แคลป »ช่องโหว่เหล่านี้“อนุญาตให้ผู้โจมตีที่เข้าถึงพอร์ต Thunderbolt ได้ทางกายภาพสามารถโจมตีเครื่องเป้าหมายได้ภายในไม่กี่วินาที รันโค้ดโดยอำเภอใจที่ระดับสิทธิ์สูงสุด และอาจเข้าถึงรหัสผ่าน รหัสผ่าน ตัวระบุธนาคาร คีย์เข้ารหัส ไฟล์ที่เป็นความลับ ข้อมูลการท่องเว็บ และข้อมูลอื่น ๆ »- ระบบทั้งหมดได้รับผลกระทบ รวมถึง Windows, macOS, Linux และ FreeBSD สรุปมันหนัก..
การโจมตี Thunderclap ขึ้นอยู่กับข้อเท็จจริงที่ว่าในอดีตอุปกรณ์ต่อพ่วง เช่น การ์ดเครือข่ายหรือกราฟิกการ์ด สามารถเข้าถึงหน่วยความจำของคอมพิวเตอร์ได้อย่างเต็มที่ เพื่อประโยชน์ด้านประสิทธิภาพ (DMA, การเข้าถึงหน่วยความจำโดยตรง) อุปกรณ์ต่อพ่วงที่เสียหายจึงสามารถเข้าถึงส่วนที่ซ่อนเร้นของระบบได้อย่างสบายใจ ต่อมา ซัพพลายเออร์ได้ใช้อุปกรณ์ป้องกันที่เรียกว่า Input-Output Memory Management Unit (IOMMU) ซึ่งช่วยให้เข้าถึงหน่วยความจำได้อย่างจำกัด
แต่ปรากฎว่าการป้องกันนี้ไม่ได้เกิดขึ้นเสมอไป ตัวอย่างเช่น Microsoft เริ่มเปิดใช้งานสำหรับ Windows 10 Enterprise เท่านั้น สำหรับ Windows เวอร์ชันอื่นๆ ทั้งหมด การเข้าถึงหน่วยความจำคือแถบเปิดสำหรับอุปกรณ์ Thunderbolt ทั้งหมด จากผลงานของนักวิจัย คอมพิวเตอร์ทุกเครื่องที่ใช้ Windows 10 เมษายน 2561 (เวอร์ชัน 1803) มี IOMMU แล้ว โปรดทราบว่าการอัปเดตเป็น Windows 10 v1803 นั้นไม่เพียงพอ ผู้ผลิตจะต้องอัปเดตเฟิร์มแวร์ด้วย นอกจากนี้ เพื่อให้อุปกรณ์ทำงานได้จริง ผู้ผลิตอุปกรณ์จะต้องอัปเดตไดรเวอร์ของตน ซึ่งยังไม่ใช่สำหรับทุกคนอย่างแน่นอน
ไม่ว่าในกรณีใด การเปิดใช้งาน IOMMU ไม่สามารถแก้ปัญหาได้จริงๆ เนื่องจากการป้องกันนี้ไม่มีประสิทธิภาพเพียงพอ เพื่อสาธิตสิ่งนี้ นักวิจัยได้สร้างแพลตฟอร์มฮาร์ดแวร์บนการ์ดที่ตั้งโปรแกรมได้ FPGA ซึ่งสามารถจำลองอุปกรณ์ต่อพ่วงต่างๆ ได้อย่างสมบูรณ์แบบ ซึ่งช่วยให้พวกเขาสามารถสำรวจปฏิสัมพันธ์ที่แตกต่างกันระหว่างอุปกรณ์ต่อพ่วง ไดรเวอร์ RAM และกระบวนการแอปพลิเคชัน“ผลลัพธ์ที่ได้ถือเป็นหายนะ โดยเผยให้เห็นช่องโหว่เฉพาะถิ่นต่อหน้าผู้โจมตีที่มีความซับซ้อนมากขึ้น แม้ว่า IOMMU จะใช้ IOMMU อย่างชัดเจนก็ตาม”เขียนนักวิจัยในบทความของพวกเขา
บน macOS ซึ่งมีการป้องกัน IOMMU นักวิจัยจำลองการ์ดเครือข่ายและประสบความสำเร็จ เช่น ในการเข้าถึงข้อมูลที่ชัดเจนจากการรับส่งข้อมูล VPN พวกเขายังจัดการเพื่อรับ "รูทเชลล์" ซึ่งก็คือเพื่อเรียกใช้โค้ดใด ๆ ที่มีสิทธิ์ของผู้ดูแลระบบ ข้อบกพร่องสุดท้ายนี้ได้ถูกปิดลงแล้ว โดยเริ่มตั้งแต่เวอร์ชัน 10.12.4 แต่ยังคงเป็นไปได้ในการเข้าถึงข้อมูลการรับส่งข้อมูลบน Mac เครื่องใดก็ได้ นอกจากนี้ยังสามารถเข้าถึงการกดแป้นพิมพ์และแสดงข้อมูลผ่านทางบัฟเฟอร์เฟรม-
บน Linux นักวิจัยยังสามารถอ่านการรับส่งข้อมูล VPN ได้อีกด้วย พวกเขายังสามารถหลีกเลี่ยง IOMMU ได้อย่างสมบูรณ์ด้วยการแก้ไขพารามิเตอร์ที่เลเยอร์การสื่อสาร PCI Express สิ่งนี้ทำให้พวกเขาสามารถเข้าถึงข้อมูลทั้งหมดในหน่วยความจำได้ แฮ็คนี้ใช้ได้กับเครื่องที่รองรับตัวเลือก “บริการแปลที่อยู่” ของ PCI Express เท่านั้น นักวิจัยสามารถตรวจสอบสิ่งนี้ได้ทั้งบนแล็ปท็อปและเซิร์ฟเวอร์ที่ทำงานภายใต้ Ubuntu, RHEL และ Fedora ข่าวดีก็คือ Intel ได้พัฒนาแพทช์ที่ควรป้องกันการลัดวงจรนี้ พวกมันจะถูกรวมเข้ากับเคอร์เนล Linux เวอร์ชัน 5 ซึ่งจะมาถึงในเร็วๆ นี้
การโจมตีอื่นๆ อาจเป็นไปได้ ทุกอย่างขึ้นอยู่กับว่าไดรเวอร์โต้ตอบกับกระบวนการอย่างไร การวิจัยนี้ยังไม่จบสิ้น ท้ายที่สุดความเสี่ยงนี้ควรเพิ่มขึ้นเมื่อ USB Type C ซึ่งมักจะรวม Thunderbolt ไว้จะแพร่หลาย เพื่อป้องกันตนเอง ผู้ใช้สามารถลองปิดการใช้งานอินเทอร์เฟซ Thunderbolt ที่ระดับเฟิร์มแวร์ (BIOS/UEFI) ได้ แต่วิธีนี้อาจไม่เป็นประโยชน์นัก ไม่ว่าในกรณีใด ขอแนะนำไม่ให้วางคอมพิวเตอร์ทิ้งไว้ในที่สาธารณะ และหลีกเลี่ยงสถานีชาร์จสาธารณะที่ใช้ USB Type C
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
