Tấn công Cold Boot mới mở khóa mã hóa ổ đĩa của gần như toàn bộ máy tính hiện nay

[WhiteHat News #ID:2017]

Các nhà nghiên cứu đã phát hiện một phương thức tấn công mới đánh cắp mật khẩu, khóa mã hóa và các thông tin nhạy cảm khác được lưu trữ trên hầu hết các máy tính hiện nay, thậm chí với cả những máy đã mã hóa toàn bộ ổ đĩa.

Hình thức tấn công này là biến thể mới của tấn công Cold Boot truyền thống, xuất hiện từ năm 2008 và cho phép kẻ tấn công lấy cắp thông tin lưu trong bộ nhớ (RAM) sau khi tắt máy tính.

Tuy nhiên, để ngăn chặn tấn công cold boot, hầu hết các máy tính hiện nay đều được trang bị biện pháp bảo vệ do Trusted Computing Group (TCG) tạo ra, ghi đè nội dung của RAM khi nguồn điện cung cấp cho thiết bị được phục hồi, nhằm ngăn chặn việc đọc dữ liệu.

Hiện nay, các nhà nghiên cứu từ công ty an ninh mạng F-Secure của Phần Lan đã tìm ra một cách mới để vô hiệu hóa biện pháp an ninh nha này bằng tác động vật lý lên firmware của máy tính, cho phép kẻ tấn công khôi phục dữ liệu nhạy cảm được lưu trên máy tính sau quá trình cold reboot trong vài phút.

Theo bài cảnh báo ngày 13/9 trên blog của công ty F-Secure, "Tấn công cold boot có thể lấy khóa mã hóa từ các thiết bị. Nhưng trên thực tế, những kẻ tấn công có thể đánh cắp tất cả các loại thông tin thông qua phương thức này. Mật khẩu, thông tin đăng nhập vào mạng công ty và bất kỳ dữ liệu nào được lưu trên máy đều đứng trước nguy cơ bị khai thác”.

Video chứng minh tấn công Cold Boot mới

Bằng một công cụ đơn giản, các nhà nghiên cứu có thể viết lại non-volatile memory chip (chip nhớ lưu giữ liệu sau khi bị ngắt điện) có chứa các thiết lập ghi đè bộ nhớ, vô hiệu hóa nó và cho phép khởi động từ các thiết bị bên ngoài. Bạn có thể xem video thực hiện cuộc tấn công bên dưới.

Tương tự tấn công cold boot truyền thống, phương thức tấn công mới cần truy cập vật lý vào thiết bị cũng như cần các công cụ thích hợp để phục hồi dữ liệu còn lại trong bộ nhớ của máy tính.

"Không dễ thực hiện, nhưng không quá nan giải để chúng tôi tìm ra và khai thác mà bỏ qua khả năng một số kẻ tấn công có thể đã phát hiện ra điều này", chuyên gia của F-Secure Olle Segerdahl cho biết.

"Những kẻ tấn công không dùng phương thức này để nhắm tới những mục tiêu dễ dàng mà thực hiện những vụ lừa đảo lớn hơn như một ngân hàng hay doanh nghiệp lớn".

Microsoft Windows và người dùng Apple có thể ngăn chặn tấn công Cold Boot như thế nào?

Theo chuyên gia Olle và đồng nghiệp Pasi Saarinen, kỹ thuật tấn công mới được cho là có hiệu quả trên gần như toàn bộ máy tính hiện nay, thậm chí cả Mac của Apple. Không dễ dàng và nhanh chóng cập nhật bản vá cho vấn đề này.

Hai nhà nghiên cứu đã thông báo phát hiện của mình tới Microsoft, Intel và Apple cũng như hỗ trợ các công ty này tìm kiếm giải pháp khả thi để ngăn chặn tấn công.


Microsoft đã cập nhật hướng dẫn các biện pháp đối phó Bitlocker trước phát hiện của F-Secure, trong khi Apple cho biết Mac của hãng được trang bị Chip Apple T2 đã bao gồm các biện pháp an ninh được thiết kế để bảo vệ người dùng trước hình thức tấn công này.

Nhưng đối với các máy tính Mac không có chip T2 mới nhất, Apple khuyến cáo người dùng nên đặt mật khẩu firmware để tăng cường an ninh cho máy tính.

Intel vẫn chưa bình luận về vấn đề này.

Cũng theo hai chuyên gia này, không có cách xử lý đáng tin cậy nào để ngăn chặn tấn công cold boot khi kẻ tấn công có chuyên môn tiếp cận được máy tính xách tay, nhưng đề nghị các công ty cấu hình thiết bị của họ để kẻ tấn công không tìm thấy bất cứ điều gì đáng giá để đánh cắp.


Hai chuyên gia cũng đề nghị các phòng CNTT cấu hình tất cả các máy tính của công ty về trạng thái tắt hoặc ngủ đông (không chọn chế độ sleep mode) và yêu cầu người dùng nhập mã PIN BitLocker bất cứ khi nào họ cấp nguồn hoặc khôi phục máy tính của mình.

Những kẻ tấn công vẫn có thể thực hiện tấn công cold boot thành công đối với các máy tính được cấu hình như trên, nhưng vì các khóa mã hóa không được lưu trữ trong bộ nhớ khi máy ngủ đông hoặc tắt, sẽ không có thông tin giá trị nào có thể bị đánh cắp.

Theo Thehackernews​