เทคนิค “BlindSide” รูปแบบใหม่ใช้ความสามารถที่ช่วยเพิ่มประสิทธิภาพ CPU หลบหลีกการป้องกันของ OS

นักวิจัยจาก Stevens Institute of Technology ในรัฐนิวเจอร์ซีย์, ETH Zurich และมหาวิทยาลัย Vrije ในอัมสเตอร์ดัม ได้เผยเเพร่การพัฒนาเทคนิคใหม่สำหรับการโจมตีระบบคอมพิวเตอร์โดยใช้ Speculative execution ที่จะใช้สำหรับการเพิ่มประสิทธิภาพของ CPU เพื่อทำการสร้างช่องโหว่การ Bypass ASLR (Address Space Layout Randomization) โดยเทคนิคที่ถูกเเผยเเพร่นี้ถูกเรียกว่า “BlindSide”

เทคนิค “BlindSide” นั้นเกิดจากคุณลักษณะของ Speculative execution ที่ช่วยเพิ่มประสิทธิภาพของการโปรเซสเซอร์ใน CPU ซึ่งจะดำเนินการคำนวนล่วงหน้าและควบคู่ไปกับเธรดการคำนวณหลักเมื่อเธรดของ CPU หลักถึงจุดที่กำหนด Speculative execution จะนำค่าที่คำนวณแล้วและไปยัง task ถัดไปซึ่งเป็นกระบวนการที่ส่งผลให้การดำเนินการคำนวณเร็วขึ้น ค่าทั้งหมดที่คำนวณระหว่างการดำเนินการแบบ Speculative execution จะถูกละทิ้งโดยไม่ส่งผลกระทบต่อระบบปฏิบัติการ ซึ่งถ้าหากผู้โจมตีรู้ว่าแอปเรียกใช้โค้ดภายในหน่วยความจำที่ใดผู้โจมตีสามารถปรับแต่งช่องโหว่ที่ใช้โจมตีแอปพลิเคชันโดยเฉพาะและจะสามารถทำการขโมยข้อมูลที่ละเอียดอ่อนได้

นักวิจัยกล่าวว่าการโจมตีด้วยเทคนิค "BlindSide" นั้นสามารถทำงานได้โดยไม่คำนึงถึงสถาปัตยกรรม ซึ่งนักวิจัยได้ทำการทดสอบแล้วบน CPU ทั้ง Intel และ AMD นอกจากนี้การโจมตีแบบ BlindSide ยังทำงานได้แม้จะมีจะมีผู้ผลิตพยายามเพิ่มการป้องกันเทคนิค speculative execution attack เช่นเดียวกับ Spectre และ Meltdown ไปแล้ว

ทั้งนี้ผู้ที่สนใจรายละเอียดของเทคนิคสามารถอ่านรายละเอียดเพิ่มเติมได้ที่: vusec

ที่มา: ZDnet

อธิบายรายละเอียด 4 ช่องโหว่ใหม่ในซีพียู Intel อ่านข้อมูลได้ไม่จำกัดขอบเขต

ในช่วงสัปดาห์ที่ผ่านมาถือว่าเป็นสัปดาห์ที่มีการเกิดขึ้นของหลายช่องโหว่ที่น่าสนใจ เช่น ไล่ไปตั้งแต่ช่องโหว่บนฟีเจอร์ RDP ในระบบปฏิบัติการวินโดวส์ที่ได้คะแนน CVSSv3 ไปถึง 9.8 คะแนน, ช่องโหว่ในโค้ดที่เกี่ยวข้องกับฟีเจอร์ VoIP ของ WhatsApp ที่ติดตั้งมัลแวร์ได้จากระยะไกล, ความปลอดภัยของ SHA1 และสี่ช่องโหว่บนซีพียูของ Intel นี้

สำหรับในบล็อกนี้นั้น ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จากบริษัท ไอ-ซีเคียว จำกัด จะมาสรุปถึงการค้นพบสี่ช่องโหว่ใหม่ในฟังก์ชันการทำงานของซีพียู Intel ซึ่งผลลัพธ์ที่เป็นไปได้กรณีหนึ่งเมื่อมีการโจมตีช่องโหว่นี้นั้น คือทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่กำลังถูกประมวลผลโดยซีพียูแบบไม่มีขอบเขต และการป้องกันนั้นอาจทำให้ประสิทธิภาพการทำงานของซีพียูได้รับผลกระทบ โดยจากการตรวจสอบในเบื้องต้นนั้น ซีพียู Intel ตั้งแต่ปี 2011 จนถึงปัจจุบันจะได้รับผลกระทบจากช่องโหว่ทั้งหมด

เนื่องจากเนื้อหาที่อาจมีเป็นจำนวนมาก ทีมตอบสนองการโจมตีและภัยคุกคามจะขอสรุปเนื้อหาไว้ในรูปแบบของการตั้งคำถามและให้คำตอบเกี่ยวกับช่องโหว่แต่ละรายการไป หากใครมีคำถามเกี่ยวกับช่องโหว่เหล่านี้เพิ่มเติมสามารถส่งคำถามมาได้ที่เพจ i-secure Co., Ltd.

ทำความรู้จักช่องโหว่ Foreshadow (L1 Terminal Fault – L1TF) อ่านข้อมูลจากแคชซีพียูแม้มีโหมดป้องกันได้โดยตรง

สรุปย่อ
Intel ร่วมกับนักวิจัยเปิดเผยสามช่องโหว่ใหม่ภายใต้ชื่อ L1 Terminal Fault (L1TF) หรือ Foreshadow โดยเป็นการต่อยอดจากช่องโหว่ Meltdown ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงคำสั่งและข้อมูลที่กำลังทำงานอยู่ในซีพียู รวมไปถึงส่วนของซีพียูที่ถูกป้องกันด้วยฟีเจอร์ป้องกันการเข้าถึงข้อมูลได้

ช่องโหว่ Foreshadow นี้ส่งผลโดยตรงกับคุณสมบัติของฟีเจอร์ Intel Software Guard Extensions (Intel SGX) ซึ่งมีหน้าที่สำคัญในการป้องกันการเข้าถึงข้อมูลจากโปรแกรม โค้ด ระบบปฏิบัติการหรือแม้แต่ hypervisor เองหากไม่ได้รับอนุญาตให้เข้าถึง

ในมุมของผู้ใช้งานนั้น ผลลัพธ์ของช่องโหว่ Foreshadow อาจคล้ายหรือใกล้เคียงกับผลลัพธ์ของช่องโหว่ Spectre หรือ Meltdown อย่างไรก็ตาม Foreshadow ระบุเฉพาะเจาะจงไปที่ซีพียูที่มีการใช้งานฟีเจอร์ป้องกัน Intel SGX ที่มักจะถูกเปิดใช้งานบนระบบที่ต้องการความปลอดภัยสูง และบ่งบอกว่าจะมีการป้องกันในระดับฮาร์ดแวร์ก็ยังคงได้รับผลกระทบอยู่เช่นกัน

รายละเอียดช่องโหว่
เมื่อวันที่ 14 สิงหาคม 2018 ที่ผ่านมา บริษัท Intel ร่วมกับนักวิจัยเปิดเผยสามช่องโหว่ใหม่ที่ส่งผลกระทบกับซีพียู (CPU) ยี่ห้อ Intel ซึ่งเป็นช่องโหว่ที่ใช้ประโยชน์จากกระบวนการทำงานหนึ่งของซีพียูที่เรียกว่า speculative execution เช่นเดียวกับช่องโหว่ Meltdown และ Spectre ที่เปิดเผยเมื่อต้นปี 2018 ที่ผ่านมา

กระบวนการ speculative execution เป็นกระบวนการที่พบได้ในซีพียูรุ่นใหม่ๆ เพื่อเพิ่มประสิทธิภาพการทำงานด้วยการทำงานล่วงหน้าในชุดคำสั่งใด ๆ ไปก่อนไม่ว่าเงื่อนไขที่ควบคุมชุดคำสั่งนั้นๆ จะเป็นจริงหรือไม่ และจะนำข้อมูลเข้าและออกจากหน่วยความจำล่วงหน้า หากเงื่อนไขเป็นเท็จจึงลบข้อมูลและยกเลิกชุดคำสั่งที่ทำงานล่วงหน้า

ช่องโหว่ทั้งสามตัวนี้เป็นการใช้ประโยชน์จากกระบวนการ speculative execution เพื่ออ่านค่าของแคชระดับที่ 1 (L1 Cache) ซึ่งเป็นแคชอยู่ใกล้กับซีพียูที่สุด ช่องโหว่ทั้งสามถูกอ้างอิงด้วยศัพท์เทคนิคว่า L1 Terminal Fault หรือ L1TF 

ซึ่งแบ่งย่อยได้เป็น

L1 Terminal Fault – SGX หรือ CVE-2018-3615 หรือ Foreshadow
L1 Terminal Fault – OS/SMM หรือ CVE-2018-3620 หรือ Foreshadow-NG
L1 Terminal Fault – VMM หรือ CVE-2018-3646 หรือ Foreshadow-NG

ผลกระทบ
ช่องโหว่ L1 Terminal Fault – SGX ได้คะแนน CVSSv3 7.9 สามารถใช้โจมตี Intel Software Guard Extensions (SGX) ได้ โดย SGX เป็นเทคโนโลยีรักษาความปลอดภัยที่ใช้ในซีพียูของ intel ตั้งแต่ปี 2013 เป็นการรักษาความปลอดภัยของข้อมูลเพื่อให้อ่านหรือแก้ไขได้เฉพาะกระบวนการที่น่าเชื่อถือเท่านั้น ทำให้ทนทานต่อการโจมตีหลายรูปแบบ แต่ช่องโหว่ Foreshadow ทำให้ผู้โจมตีสามารถหลีกเลี่ยง SGX และอ่านข้อมูลภายในแคชระดับที่ 1 เช่น รหัสผ่านหรือคีย์เข้ารหัสได้ กระทบผู้ใช้ทั้งหมดที่ใช้ซีพียู Intel ที่มีการเปิดใช้งาน Intel SGX

ช่องโหว่ L1 Terminal Fault – OS/SMM ได้คะแนน CVSSv3 7.1 สามารถอ่านข้อมูลในเคอร์เนลของระบบปฎิบัติการ และข้อมูลใน system management mode (SMM) ผ่านแคชระดับที่ 1ได้ กระทบผู้ใช้ทั้งหมด

ช่องโหว่ L1 Terminal Fault – VMM ได้คะแนน CVSSv3 7.1 ทำให้อ่านข้อมูลบนระบบ hypervisor ได้ จึงอ่านค่าหน่วยความจำของเครื่องเสมือน (VM) อื่นบนซีพียูเดียวกันได้ กระทบผู้ใช้บริการเครื่องเสมือนบนคลาวด์  ระบบดาตาเซ็นเตอร์ และผู้ให้บริการคลาวด์โดยเฉพาะผู้ให้บริการคลาวด์ที่แชร์ซีพียูระหว่างเครื่องเสมือนของผู้ใช้หลายรายการเข้าด้วยกัน

ในขณะนี้ยังไม่มีการตรวจพบการใช้ช่องโหว่ทั้งสามในการโจมตีจริง
คำแนะนำสำหรับผู้ใช้งานทั่วไป
ช่องโหว่  L1 Terminal Fault – SGX และ L1 Terminal Fault – OS/SMM สามารถป้องกันได้โดยอัปเดต microcode ภายในซีพียู และอัปเดตระบบปฏิบัติการ ซึ่ง Microsoft ได้มีการอัปเดตเพื่อป้องกันไปในแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018 แล้ว
คำแนะนำสำหรับผู้ใช้งานคลาวด์
ผู้ใช้งานคลาวด์ควรอ่านคำแนะนำความปลอดภัยเกี่ยวกับ L1TF ที่ผู้ให้บริการที่ตนเองใช้งาน และปฏิบัติตามคำแนะนำดังกล่าว โดยผู้บริการต่างๆ ได้ให้คำแนะนำไว้ดังนี้

Amazon Web Services
Google Cloud
Microsoft Azure
DigitalOcean
Linode 
Oracle 

 แหล่งอ้างอิง

https://www.

Oracle Critical Patch Update Advisory – January 2018

Oracle ประกาศแพตช์ด้านความปลอดภัยประจำเดือนมกราคม 2018 โดยแพตช์ด้านความปลอดภัยนั้นมีจำนวนรวมกว่า 238 รายการและยังรวมไปถึงแพตช์ช่องโหว่ชื่อดังอย่าง Spectre/Meltdown

ใน 238 รายการนั้น มีแพตช์ที่น่าสนใจและมีความร้ายแรงสูงอยู่หลายรายการ อาทิ แพตช์สำหรับช่องโหว่รหัส CVE-2017-10352 ซึ่งเป็นช่องโหว่ประเภท remote code execution บนซอฟต์แวร์ Oracle WebLogic Server ที่ได้คะแนนความร้ายแรงไป 9.9 จาก 10 คะแนนเต็ม และยังรวมไปถึงช่องโหว่บน Java SE รหัส CVE-2018-2638 และ CVE-2018-2639 ที่ได้คะแนนความร้ายแรงไป 8.3 จาก 10 คะแนนเต็ม

แนะนำให้ผู้ใช้งานที่มีการใช้งานซอฟต์แวร์ตามรายการและเวอร์ชันที่ปรากฎในแหล่งที่มาทำการอัปเดตแพตช์ด้านความปลอดภัยโดยด่วน

ที่มา : ORACLE

Microsoft January Patch Tuesday Fixes 56 Security Issues, Including a Zero-Day

เมื่อสัปดาห์ที่แล้ว Microsoft ได้ออกแพทซ์แก้ไขปัญหาด้านความปลอดภัยประจำเดือนมกราคม(Tuesday Patch) ทั้งหมด 56 รายการ และคำแนะนำด้านความปลอดภัยพิเศษ 3 รายการ ประกอบด้วยการแก้ไขปัญหาเกี่ยวกับช่องโหว่ของ Adobe Flash, Meltdown และ Spectre และ Microsoft Office

Microsoft อธิบายถึงช่องโหว่ Zero-Day ในโปรแกรม Microsoft Office และ Microsoft WordPad (CVE-2018-0802) ที่เกิดจากความผิดพลาดของหน่วยความจำทำให้ผู้โจมตีสามารถรันโค้ดบนคอมพิวเตอร์ของเหยื่อได้ ซึ่งช่องโหว่นี้เกิดขึ้นใน Office Equation Editor เวอร์ชันเก่า ซึ่งช่วยให้เอกสารที่สร้างโดย Microsoft Office เวอร์ชั่นเก่ากว่า 2007 สามารถทำการแก้ไขบน Microsoft Office เวอร์ชันใหม่ได้ รวมทั้งมีการนำ DDE ออกจาก Microsoft Word แต่ยังคงมีอยู่ใน Microsoft Office อื่นๆ นอกจากนี้ Microsoft ยังได้แก้ปัญหาช่องโหว่ Mailsploit ใน Outlook บน Mac (CVE-2018-0819) ซึ่งอนุญาตให้ผู้โจมตีสามารถส่งอีเมลที่มีการปลอมแปลงตนเองได้

โดยรวมแล้ว Microsoft ได้ทำการแก้ไขปัญหาใน Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, SQL Server, ChakraCore,. NET Framework, .Net Core และ ASP.NET Core รวมถึงการออกแพทซ์สำหรับปิดช่องโหว่ของ Meltdown และ Spectre ที่ยังไม่มีการปล่อยอัพเดทออกมาเมื่อวันที่ 3 มกราคมที่ผ่านมา

ที่มา : bleepingcomputer

Meltdown/Spectre: รู้จัก ตรวจสอบและป้องกันช่องโหว่

สรุปย่อ
นักวิจัยด้านความปลอดภัย Jann Horn จาก Google Project Zero และคณะวิจัยร่วมจากมหาวิทยาลัยและบริษัทด้านความปลอดภัยได้ประกาศการค้นพบช่องโหว่ใหม่ที่มีความร้ายแรงสูง โดยมีที่มาจากกระบวนการทำงานที่อยู่ในหน่วยประมวลผลกลาง (CPU) ซึ่งส่งผลกระทบต่อคอมพิวเตอร์เกือบทุกเครื่องที่มีการใช้ซีพียูในรุ่นที่มีช่องโหว่ รวมไปถึง คอมพิวเตอร์ส่วนบุคคล, อุปกรณ์พกพาและระบบคลาวด์

ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่กำลังประมวลผลอยู่ในระบบได้โดยไม่สนว่าโปรแกรมใดจะเป็นเจ้าของโปรแกรมนั้น หรือมีสิทธิ์/การป้องกันใดที่ปกป้องข้อมูลดังกล่าวอยู่
รายละเอียดของช่องโหว่

สำหรับช่องโหว่ Meltdown (CVE-2017-5754 หรือ Variant 3) นั้น มีที่มาในเบื้องต้นจากกระบวนการทำงานหนึ่งของซีพียูที่เรียกว่า speculative execution ซึ่งเป็น "การทำงานล่วงหน้า" ในชุดคำสั่งใดๆ ไปก่อนจนกว่าจะมีการพิสูจน์จากเงื่อนไขที่ควบคุมชุดคำสั่งนั้นๆ ว่าเงื่อนไขถูกต้องจริง โดยมีพฤติกรรมในการนำข้อมูลเข้าและออกจากจากหน่วยความจำอย่างไม่มีการควบคุมและข้ามผ่านกระบวนการใดๆ ที่คอยควบคุมการเข้าถึงข้อมูลอยู่

ด้วยพฤติกรรมดังกล่าว ผู้โจมตีสามารถบังคับให้เกิด "การทำงานล่วงหน้า" ซึ่งเข้าถึงข้อมูได้ไม่จำกัดไปซ้ำๆ ซึ่งถูกแม้ว่าข้อมูลที่ถูกโหลดมาจะถูกนำออกไปจากหน่วยความจำแล้วเนื่องจากเงื่อนไขในการทำงานไม่เป็นจริง แต่ก็มีพฤติกรรมบางอย่างของซีพียูที่ทำให้ผู้โจมตีสามารถค้นหาและเข้าถึงข้อมูลที่ยังหลงเหลืออยู่ได้

ในส่วนของช่องโหว่ Spectre นั้น ตัวช่องโหว่เองก็มีการใช้ประโยชน์จาก speculative execution แต่ด้วยลักษณะที่ต่างออกไป 2 ลักษณะ

ลักษณะที่ 1 (Variant 1): ฟีเจอร์ speculative execution จะถูกใช้ในลักษณะที่คล้ายกับ Meltdown แต่มีเป้าหมายอยู่เพียงในระดับโปรเซส ซึ่งทำให้เกิดการเข้าถึงข้อมูลเกินขอบเขตที่ได้รับอนุญาตให้เข้าถึงได้
ลักษณะที่ 2 (Variant 2): ด้วยการทำงานของฟีเจอร์ speculative execution ผู้โจมตีสามารถบังคับให้เกิด "การทำงานหน้าล่วงหน้า" ในโค้ดของโปรเซสใดๆ ที่มีการทำงานอยู่ในหน่วยซีพียูเดียวกัน แล้วใช้วิธีการใน Variant 1 เพื่อเข้าถึงข้อมูลของโปรเซสอื่นๆ ที่กำลังประมวลผลอยู่ได้

ผลกระทบ
ทั้งช่องโหว่ Meltdown และ Spectre ส่งผลให้โปรเซสซึ่งมีการทำงานที่ต่ำสามารถเข้าถึงข้อมูลของโปรเซสอื่นๆ รวมไปถึงข้อมูลที่กำลังถูกประมวลผลอยู่ซึ่งอาจมีข้อมูลที่มีความอ่อนไหวสูงได้ โดยทั้งสองช่องโหว่ต่างมีความจำเป็นที่จะต้องมีการรันโค้ดที่เป็นอันตรายในระบบเพื่อโจมตีช่องโหว่

อย่างไรก็ตามช่องโหว่ Meltdown และ Spectre ไม่ได้ส่งผลกระทบที่ทำให้เกิดการเปลี่ยนแปลงข้อมูลที่เข้าถึงได้ สามารถถูกใช้ได้เพียงแค่การเข้าถึงและอ่านได้เพียงอย่างเดียวเท่านั้น

ในขณะนี้ไม่มีการตรวจพบการใช้ช่องโหว่ดังกล่าวในการโจมตีจริง
อุปกรณ์/ระบบที่ได้รับผลกระทบ
อุปกรณ์และระบบที่ได้รับผลกระทบนั้นสามารถแย่งตามช่องโหว่ได้ดังนี้

ช่องโหว่ Meltdown จะมีอยู่ในอุปกรณ์ที่ใช้ซีพียู Intel ที่ถูกผลิตตั้งแต่ปี 1995 (ยกเว้น Intel Intanium และ Intel Atom ก่อนหน้าปี 2013) รวมไปถึงซีพียู ARM ในบางรุ่น อย่างไรก็ตามในเวลานี้ยังไม่มีความแน่ชัดว่าซีพียู AMD นั้นได้รับผลกระทบจากช่องโหว่นี้หรือไม่
ช่องโหว่ Spectre จะมีอยู่ในอุปกรณ์ทุกอุปกรณ์ที่ใช้ซีพียู Intel, AMD และ ARM

ขั้นตอนแนะนำและแผนในการตอบสนองการเกิดขึ้นของช่องโหว่

ตรวจสอบผลกระทบของช่องโหว่กับอุปกรณ์ที่มีอยู่ โดยสำหรับผู้ใช้งานระบบปฏิบัติการวินโดวส์สามารถใช้โปรแกรม SpecuCheck หรือโมดูลของ powershell ชื่อ SpeculationControl เพื่อตรวจสอบการมีอยู่ของช่องโหว่ได้ และสำหรับผู้ใช้งานระบบปฏิบัติการลินุกซ์ก็สามารถใช้โปรแกรม spectre-meltdown-checker ในการตรวจสอบการมีอยู่ของช่องโหว่ได้เช่นเดียวกัน  
หากไม่แน่ใจว่าได้รับผลกระทบจากช่องโหว่หรือไม่ หรือไม่สามารถใช้โปรแกรมในการตรวจสอบการมีอยู่ของช่องโหว่ได้ ให้ทำการตรวจสอบจากประกาศของผู้ผลิตฮาร์ดแวร์และบริการตามรายการดังต่อไปนี้  
ดำเนินการแพตช์ช่องโหว่โดยพิจารณาตามความจำเป็น เนื่องจากแพตช์ของช่องโหว่อาจส่งผลต่อประสิทธิภาพการทำงานของระบบที่น้อยลงและอาจไม่ได้ช่วยป้องกันการโจมตีช่องโหว่ในทุกกรณี
ติดตามข่าวสารด้านความปลอดภัยเพื่อตรวจสอบแพตช์ในรุ่นใหม่ๆ ซึ่งอาจมีการแก้ปัญหาในเรื่องของประสิทธิภาพการทำงานและการป้องกันช่องโหว่

แหล่งอ้างอิง

Google Online Security Blog.

Read more 1 Comment