ព័ត៌មាន

NetCAT: ការវាយប្រហារថ្មីអនុញ្ញាតអោយក្រុមហេគឃ័រលួចទិន្នន័យចេញពី Intel CPUs បាន

Sunday, ទី22 September, ឆ្នាំ2019 11:09 am 0

មិនដូចភាពងាយរងគ្រោះផ្នែក side-channel មុនៗ ដែលត្រូវបានបង្ហាញនៅក្នុង Intel CPUs ទេ អ្នកស្រាវជ្រាវបានរកឃើញកំហុសថ្មីមួយដែលអាចត្រូវបានធ្វើអាជីវកម្មពីចម្ងាយនៅលើបណ្តាញ ដោយមិនតម្រូវឱ្យអ្នកវាយប្រហារចូលប្រើ ឬមេរោគណាមួយដែលបានតំឡើងនៅលើកុំព្យូទ័រ គោលដៅ។ Dubbed NetCAT តម្រៀបសម្រាប់ Network Cache ATtack ភាពងាយរងគ្រោះផ្នែក side-channel ដែលមានមូលដ្ឋានលើបណ្តាញអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយចាប់យក ទិន្នន័យរសើបដូចជាពាក្យសម្ងាត់ SSH របស់នរណាម្នាក់ចេញពីឃ្លាំងសម្ងាត់ Intel‘s CPU។ រកឃើញដោយក្រុមអ្នកស្រាវជ្រាវសន្តិសុខមកពីសាកលវិទ្យាល័យ Crije ក្នុងទីក្រុង Amsterdam ដែល ជាភាពងាយរងគ្រោះដែលត្រូវបានគេតាមដានថាជា CVE-2019-11184 ស្ថិតនៅក្នុងមុខងារបង្កើន ប្រសិទ្ធិភាពដែលមានឈ្មោះថា DDIO របស់ Intel – តម្រៀបទិន្នន័យដោយផ្ទាល់ I / O – ដែលរចនា ផ្តល់ជូនឧបករណ៍បណ្តាញ និងគ្រឿងបន្ថែមផ្សេងទៀតចូលប្រើឃ្លាំងសម្ងាត់ CPU។

DDIO ត្រូវបានបើកដំណើរការតាមលំនាំដើមនៅលើប្រព័ន្ធដំណើរការរបស់ម៉ាស៊ីនមេរបស់ Intel ចាប់តាំងពីឆ្នាំ ២០១២ រួមទាំងក្រុមគ្រួសារ Intel Xeon E5, E7 និងក្រុមគ្រួសារ SP ។ យោងទៅតាម អ្នកស្រាវជ្រាវ [Paper] ការវាយប្រហាររបស់ NetCAT ដំណើរការស្រដៀងនឹង Throwhammer ដោយ ផ្ញើកញ្ចប់បណ្តាញដែលមានជំនាញពិសេសទៅកុំព្យូទ័រគោលដៅដែលមានមុខងារបើកការចងចាំពី ចម្ងាយ (RDMA) ។ RDMA អាចឱ្យអ្នកវាយប្រហារអាចឆែកមើលគ្រឿងកុំព្យូទ័រ ដែលនៅជិតម៉ាស៊ីន ពីចម្ងាយដូចជា កាតបណ្តាញ និងសង្កេតមើលភាពខុសគ្នានៃពេលវេលារវាងកញ្ចប់បណ្តាញ ដែល ត្រូវបានបម្រើពីឃ្លាំងសម្ងាត់របស់ឧបករណ៍បញ្ជាពីចម្ងាយធៀបនឹងកញ្ចប់ព័ត៌មានដែលបានពី អង្គចងចាំ។

នៅទីនេះគំនិតនេះគឺដើម្បីធ្វើការវិភាគពេលវេលាដើម្បីវាយយកពាក្យដើម្បីវាយយកពាក្យដែលវាយដោយជនរងគ្រោះដោយប្រើក្បួនដោះស្រាយការរៀនម៉ាស៊ីនប្រឆាំងនឹងព័ត៌មានពេលវេលា។ “នៅក្នុង SSH អន្តរកម្មរាល់ពេលដែលអ្នកចុចគ្រាប់ចុច network packets ត្រូវបានបញ្ជូនដោយផ្ទាល់។ ជា លទ្ធផលរាល់ពេលជនរងគ្រោះវាយ character នៅផ្នែក SSH ដែលបានអ៊ិនគ្រីបនៅលើ console របស់អ្នក NetCAT អាចលេចធ្លាយពេលវេលានៃព្រឹត្តិការណ៍។ ដោយការលេចធ្លាយពេលវេលាមក ដល់នៃ network packet ដែលត្រូវគ្នា” ពន្យល់ពីក្រុម VUSec team។ “ឥឡូវមនុស្សមានលំនាំវាយខុសៗគ្នា។ ឧទាហរណ៍ វាយ “s” ខាងស្តាំបន្ទាប់ពី “a” លឿនជាងការវាយ អក្សរ “g” បន្ទាប់ពី “s”។ ជាលទ្ធផល NetCAT អាចធ្វើប្រតិបត្តិការវិភាគស្ថិតិនៃពេលវេលាមកដល់នៃ កញ្ចប់ព័ត៌មានដែលត្រូវបានគេស្គាល់ថាជាការវាយប្រហារនៃការវាយពេលវេលាដើម្បីឱ្យលេចចេញនូវអ្វីដែលអ្នកវាយនៅក្នុងវេន SSH ឯកជនរបស់អ្នក”។  “បើប្រៀបធៀបទៅនឹងអ្នកវាយប្រហារក្នុងស្រុកកំណើតការវាយប្រហាររបស់ NetCAT ពីបណ្តាញឆ្លង កាត់កាត់បន្ថយតែភាពត្រឹមត្រូវ ដែលបានរកឃើញជាមធ្យម 11,7% ដោយការរកឃើញការមកដល់នៃ កញ្ចប់ SSH ជាមួយនឹងអត្រាវិជ្ជមានពិត 85% “។

ក្រុមការងារ VUSec ក៏បានផ្សព្វផ្សាយវីដេអូដូចបានបង្ហាញខាងលើបង្ហាញវិធីសាស្រ្តក្នុងការធ្វើចារកម្ម លើវគ្គ SSH ក្នុងពេលវេលាជាក់ស្តែងដោយមិនមានអ្វីក្រៅពីម៉ាស៊ីនមេចែករំលែក។ NetCAT ក្លាយជា ភាពងាយរងគ្រោះផ្នែក channel ថ្មីបានចូលរួមក្នុងបញ្ជីនៃភាពងាយរងគ្រោះផ្នែក Channel ដ៏គ្រោះ ថ្នាក់ផ្សេងទៀតដែលត្រូវបានរកឃើញក្នុងឆ្នាំកន្លងមករួមមាន Meltdown និង Spectre, TLBleed, Foreshadow, SWAPGS, និង PortSmash ។ នៅក្នុងទីប្រឹក្សារបស់ខ្លួនក្រុមហ៊ុន Intel បានទទួល ស្គាល់បញ្ហានេះ ហើយបានណែនាំឱ្យអ្នកប្រើប្រាស់បិទ DDIO ទាំងស្រុង ឬយ៉ាងហោចណាស់ RDMA ដើម្បីធ្វើឱ្យការវាយប្រហារបែបនេះកាន់តែពិបាក ឬបើមិនដូច្នេះទេ ស្នើឱ្យមានការកំណត់ ការចូលប្រើ ម៉ាស៊ីនមេពីបណ្តាញដែលមិនទុកចិត្ត។ ក្រុមហ៊ុនបានចាត់ចំណាត់ថ្នាក់ភាពងាយរងគ្រោះរបស់ NetCAT នូវចំណាត់ថ្នាក់ភាពធ្ងន់ធ្ងរ “ទាប” ដោយពិពណ៌នាថា វាជាបញ្ហានៃការបង្ហាញព័ត៌មានដោយ ផ្នែក ហើយបានផ្តល់អំណោយដល់ក្រុម VUSec សម្រាប់ការបង្ហាញការទទួលខុសត្រូវ។

 image

image

Tags: