វិធីសាស្ត្រក្នុងការហេគចូលទៅក្នុង Microsoft Crypto Bug ត្រូវបានបញ្ចេញ
Source Cover Image: encryption-cryptography
តាមប្រភពព័ត៌មានពី ZDnet បានឱ្យដឹងថា ពេលថ្មីៗនេះ អ្នកស្រាវជ្រាវសន្តិសុខអុិនធឺណិត បានចេញផ្សាយនូវវិធីសាស្ត្រ (proof-of-concept) ដែលបង្ហាញអំពីការវាយលុកទៅលើចំនុចខ្សោយនៅលើប្រព័ន្ធប្រតិបត្តិការ Windows ហើយដែលពេលថ្មីៗនេះ ត្រូវបានជួសជុលរួចទៅហើយដោយក្រុមហ៊ុនម៉ៃក្រូសូហ្វ។ គួរបញ្ជាក់ថា ចំនុចខ្សោយនេះត្រូវរាយការណ៍ទៅកាន់ក្រុមហ៊ុន Microsoft តាមរយៈទីភ្នាក់ងារសន្តិសុខជាតិអាមេរិក (NSA) ។
សម្រាប់កំហុស (Bug) នេះ ដែលត្រូវគេហៅថាជា CurveBall គឺមានការប៉ះពាល់ទៅដល់ CryptoAPI (Crypt32.dll) ដែលជាផ្នែកមួយសម្រាប់ធ្វើការគ្រប់គ្រងទៅលើប្រតិបត្តិការ cryptographic operations នៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Windows OS ។
តាមការវិភាគបច្ចេកទេសកម្រិតខ្ពស់ទៅលើកំហុស Bug នេះចេញពីអ្នកស្រាវជ្រាវសន្តិសុខអុិនធឺណិត លោក Tal Be’ery បញ្ជាក់ថា មូលហេតុដើមដែលបណ្តាលអោយមានភាពងាយរងគ្រោះនេះគឺ ជាការអនុវត្តមិនត្រឹមត្រូវទៅលើ Elliptic Curve Cryptography (ECC) នៅក្នុងកូដរបស់ក្រុមហ៊ុនMicrosoft ។
តាមការបញ្ជាក់របស់ NSA, DHS និង Microsoft បានឱ្យដឹងថា នៅពេលដែលមានការ វាយលុក (exploited) ទៅលើកំហុស (Bug) នេះ គឺត្រូវគេហៅថាជា CVE-2020-0601 ដែលអនុញ្ញាតអោយអ្នកវាយប្រហារអាច៖
- ការចាប់ផ្តើមការវាយប្រហារក្នុងបច្ចេកទេស MitM (man-in-the-middle) និងការស្ទាក់ចាប់តាមផ្លូវ (intercept) និងការតភ្ជាប់នូវ HTTPS connections ក្លែងក្លាយថែមទៀត
- ការប្រើប្រាស់នូវហត្ថលេខា (signatures) ក្លែងក្លាយសម្រាប់ Files និង Emails
- ការប្រើប្រស់នូវកូដហត្ថលេខា (signed-executable code) ក្លែងក្លាយនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Windows
ក្រុមអ្នកជំនាញ៖ វាពិតជាអាក្រក់ អាក្រក់ខ្លាំងណាស់!
នៅក្នុងការផ្សព្វផ្សាយនៅលើបណ្តាញសង្គម Twitter ទីប្រឹក្សាសន្តិសុខមាតុភូមិស្តីទី លោក Rob Joyce ពិពណ៌នាអំពីកំហុសនោះថា “វាពិតជាធ្ងន់ធ្ងរ ធ្ងន់ធ្ងរណាស់” ។
អាជ្ញាធរសហរដ្ឋអាមេរិកធ្វើការប្រតិកម្មចំពោះភាពងាយរងគ្រោះយ៉ាងបើកចំហ និងសកម្មនេះថែមទៀត។ NSA ចេញសេចក្តីជូនដំណឹងស្តីពីសន្តិសុខដ៏កម្រមួយអំពីកំហុសនេះ ហើយនាយកដ្ឋាន CISA របស់ DHS ដែលចេញសេចក្តីណែនាំបន្ទាន់ ដោយផ្តល់ឱ្យទីភ្នាក់ងាររដ្ឋាភិបាលរយៈពេល ១០ ថ្ងៃក្នុងការជួសជុល (patch) ប្រព័ន្ធ ដោយធ្វើការអាប់ដេត Microsoft Patch Tuesday សម្រាប់ខែមករាឆ្នាំ ២០២០ ។
នេះជាលើកដំបូងហើយដែល NSA ធ្វើការរាយការណ៍កំហុសនេះទៅកាន់ក្រុមហ៊ុន Microsoft ។ គេអាចនិយាយថា ទីភ្នាក់ងារនេះកំពុងធ្វើទស្សនកិច្ចសារព័ត៌មាន ដើម្បីកែលម្អរូបភាពរបស់ខ្លួននៅក្នុងសហគមន៍សន្តិសុខតាមអុិនធឺណិត បន្ទាប់ពី រឿងអាស្រូវនៃ EternalBlue និង Shadow Brokers នៅពេលដែលកម្មវិធីហេគឃីងដែលបង្កើតឡើងដោយ NSA ត្រូវបែកធ្លាយតាមអុិនធឺរណិត និងត្រូវបានប្រើប្រាស់សម្រាប់ការចម្លងមេរោគ និងការវាយលុកតាមអុិនធឺណិតដ៏ធំបំផុតនេះ ដែលត្រូវគេស្គាល់រហូតមកដល់បច្ចុប្បន្នថែមទៀត។
វិធីសាស្ត្រនៃការវាយលុក (POC) ត្រូវចេញផ្សាយនៅលើអនឡាញ
អ្នកទីមួយដែលបង្ហាញនូវកូដ proof-of-concept code នេះគឺជា Saleem Rashid ដែលធ្វើការបង្កើតនូវវិញ្ញាបនបត្រ TLS certificates ក្លែងក្លាយ និងអនុញ្ញាតអោយវេបសាយជាច្រើនបង្កើតជាឯកសារស្របច្បាប់បានថែមទៀត។
Rashid មិនបានផ្សព្វផ្សាយកូដរបស់គាត់ទេ ប៉ុន្តែអ្នកផ្សេងទៀតបានធ្វើវាប៉ុន្មានម៉ោងក្រោយមក។ ការវាយលុកជាសាធារណៈរបស់ចំនុចខ្សោយ CurveBall ដំបូង បានមកពីក្រុមហ៊ុន Kudelski Security បន្ទាប់មកអ្នកទី២ មកពីអ្នកស្រាវជ្រាវសន្តិសុខដាណឺម៉ាកដែលមានឈ្មោះថា Ollypwn ។
ការិយាល័យឆ្លើយតបបញ្ហាបន្ទាន់នៃកុំព្យូទ័រ (CamCERT) នៃក្រសួងប្រៃសណីយ៍ និងទូរគមនាគមន៍ ក៏បានចេញផ្សាយអំពីការអាប់ដេតរបស់ក្រុមហ៊ុនម៉ៃក្រូសូហ្វប្រចាំខែមករា ឆ្នាំ២០២០ នេះផងដែរ។
ដំណឹងល្អនៅក្នុងរឿងទាំងអស់នេះគឺថា ទោះបីជាអ្នកប្រើប្រាស់មិនមានពេលវេលាដើម្បីរៀបចំពេលវេលាដើម្បីដំឡើងនូវ Patch នេះក៏ដោយក៏ Windows Defender ទទួលការងារធ្វើបច្ចុប្បន្នភាពយ៉ាងហោចណាស់ដើម្បីរកមើលការប៉ុនប៉ងវាយលុកសកម្មណាមួយ និងព្រមានទៅកាន់អ្នកប្រើប្រាស់វិញ។ យោងតាមក្រុមហ៊ុន Microsoft ភាពងាយរងគ្រោះនេះប៉ះពាល់ដល់ប្រព័ន្ធប្រតិបត្តិការ Windows 10, Windows Server 2019, និងប្រព័ន្ធប្រតិបត្តិការ Windows Server 2016 OS ៕