Được biết đến trong nhiều năm, các cuộc tấn công nhắm vào bộ nhớ truy cập trực tiếp (Direct Memory Access - DMA) cho phép kẻ tấn công xâm nhập máy tính mục tiêu chỉ trong vài giây, bằng cách cắm một thiết bị hot plug độc hại (như thẻ mạng ngoài, chuột, bàn phím, máy in, thiết bị lưu trữ và card đồ họa) vào cổng Thunderbolt 3 hoặc cổng USB-C.
Các cuộc tấn công dựa trên DMA là có thể xảy ra bởi cổng Thunderbolt cho phép các thiết bị ngoại vi được kết nối qua mặt các chính sách bảo mật của hệ điều hành và trực tiếp đọc/ghi bộ nhớ hệ thống có chứa các thông tin nhạy cảm bao gồm mật khẩu, thông tin đăng nhập ngân hàng, tệp riêng tư và hoạt động của trình duyệt.
Điều này có nghĩa, kẻ tấn công chỉ cần cắm một thiết bị độc hại được tạo bằng các công cụ như Interception, là có thể sửa đổi nội dung của bộ nhớ và thực thi mã tùy ý với các đặc quyền cao hơn so với các thiết bị ngoại vi bus nối tiếp thông thường. Từ đó, kẻ tấn công có thể vượt qua lớp xác thực hệ điều hành hoặc điều khiển máy tính từ xa.
Để ngăn chặn các cuộc tấn công dựa trên DMA, hầu hết các hệ điều hành và thiết bị đều sử dụng kỹ thuật bảo vệ Bộ quản lý bộ nhớ đầu vào/đầu ra (Input–output memory management unit - IOMMU) để kiểm soát kết nối từ các thiết bị ngoại vi có thể truy cập bộ nhớ hoặc vùng nào đó của bộ nhớ. Tuy nhiên, lỗ hổng được phát hiện cho phép kẻ tấn công qua mặt được cơ chế bảo vệ của IOMMU. Bằng cách bắt chước chức năng của một thiết bị ngoại vi hợp pháp, kẻ tấn công có thể đánh lừa hệ điều hành cung cấp quyền truy cập vào các vùng bộ nhớ nhạy cảm.
Trong một bài báo được công bố mới đây, các nhà nghiên cứu đã liệt kê chi tiết thông tin kỹ thuật về tất cả các lỗ hổng mới mà họ vừa tuyên bố, được phát hiện thấy bằng cách sử dụng ngăn xếp phần cứng/phần mềm, được gọi là Thunderclap, do họ xây dựng và cũng được phát hành dưới dạng nguồn mở.
Ngoài ra, các nhà nghiên cứu cũng nhấn mạnh rằng vì IOMMU không được bật mặc định trên hầu hết các hệ điều hành và các thiết bị hiện đại có cổng USB-C, nên cuộc tấn công bề mặt của tấn công DMA đã gia tăng đáng kể. Thay vì trước đây, tấn công này chủ yếu giới hạn ở các thiết bị Apple, do có cổng Thunderbolt 3.
Đặc biệt, tất cả máy tính xách tay và máy tính để bàn của Apple được sản xuất từ năm 2011 đều có lỗ hổng, ngoại trừ MacBook 12 inch. Nhiều máy tính xách tay và một số máy tính để bàn được thiết kế chạy Windows hoặc Linux được sản xuất từ năm 2016 cũng bị ảnh hưởng.
Các nhà nghiên cứu đã báo cáo phát hiện của mình cho tất cả các nhà cung cấp phần cứng và hệ điều hành. Hầu hết, các nhà cung cấp đã áp dựng các biện pháp giảm thiểu rủi ro nhằm giải quyết các lỗ hổng Thunderclap.
Apple đã giải quyết lỗ hổng này trên các phiên bản từ macOS 10.12.4. Hãng Intel cũng phát hành các bản vá cho phiên bản 5.0 của nhân Linux. Dự án FreeBSD đưa ra thông tin rằng các thiết bị ngoại vi độc hại hiện không nằm trong đối tưởng bị ảnh hưởng cần xử lý về mặt an toàn của Dự án.
Mặc dù không phải tất cả các bản vá phần mềm hoàn toàn có thể chặn đứng các cuộc tấn công DMA, người dùng vẫn được khuyến cáo nên cài đặt các bản cập nhật để giảm thiểu khả năng bị tấn công. Theo các nhà nghiên cứu, cách tốt nhất để bảo vệ là vô hiệu hóa các cổng Thunderbolt trên máy tính. Ngoài ra, các nhà nghiên cứu cũng phát triển một phần cứng tấn công proof-of-concept có thể thực thi các lỗ hổng Thunderclap trên các hệ thống mục tiêu, nhưng thiết bị này chưa được phát hành tại thời điểm hiện tại.
Vân Ngọc
Thehackernews
09:00 | 17/10/2017
09:00 | 17/12/2018
17:00 | 12/07/2021
10:00 | 14/02/2019
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
10:00 | 06/12/2023
Các cơ quan chính phủ ở Trung Đông hiện đang là mục tiêu của các chiến dịch tấn công lừa đảo mới được nhóm tin tặc TA402 triển khai để phân phối phần mềm độc hại có tên là IronWind. Bài viết này sẽ làm rõ các chiến dịch tấn công này dựa trên những phát hiện mới đây của công ty an ninh mạng Proofpoint (Mỹ).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024
