កុំព្យូទ័រម៉ាក Dell មានចំនុចខ្សោយដែលអាចឱ្យមានការហេគចូលពីចំងាយបាន
ចំនុចខ្សោយមាននៅក្នុងកម្មវិធីកុំព្យូទ័ររបស់ Dell មានឈ្មោះថា SupportAssist បានធ្វើឱ្យកុំព្យូទ័រយួរដៃ និងកុំព្យូទ័រលើតុម៉ាក Dell អាចប្រឈមមុខទៅនឹងការវាយប្រហារពីចំងាយដែលអាចឱ្យពួក Hackers ដំណើរការកូដជាមួយហើយគ្រប់គ្រងទៅលើកុំព្យូទ័រនោះតែម្តង។
Dell បានចេញផ្សាយការជួសជុលទៅលើកំហុសសុវត្ថិភាពនេះនាថ្ងៃទី 23 ខែមេសា កន្លងទៅនេះ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកប្រើបា្រស់ជាច្រើនទៀតទំនងជានៅតែងាយរងគ្រោះដោយសារបញ្ហានេះ លុះត្រាតែពួកគេបានធ្វើបច្ចុប្បន្នភាពទៅលើកម្មវិធី SupportAssist ។
ចំនួនអ្នកប្រើប្រាស់ដែលទទួលរងផលប៉ះពាល់ត្រូវបានគេជឿថាមានកំរិតខ្ពស់ ពីព្រោះកម្មវិធី SupportAssist គឺជាផ្នែកមួយនៃកម្មវិធីរបស់ក្រុមហ៊ុន Dell តំឡើងជាមុននៅលើកុំព្យូទ័រយួរដៃនិងកុំព្យូទ័រលើតុ ម៉ាក Dell ទាំងអស់ ដែលក្រុមហ៊ុនភ្ជាប់ជាមួយនូវប្រព័ន្ធប្រតិបត្តិការ Windows OS (កុំព្យូទ័រដែលលក់ដោយគ្មានប្រព័ន្ធប្រតិបត្តិការមិនត្រូវបានប៉ះពាល់ ) ។
ចំនុចខ្សោយលេខកូដ CVE-2019-3719
យោងទៅតាមលោក Bill Demirkapi អ្នកស្រាវជ្រាវសន្តិសុខអ៊ិនធឺណិតអាយុទើបតែ 17ឆ្នាំបានឱ្យដឹងថា កម្មវិធី Dell SupportAssist គឺងាយរងគ្រោះពីការដំណើរការកូដពីចម្ងាយ (remote code execution) ដែលស្ថិតក្រោមកាលៈទេសៈមួយចំនួនដែលអាចឱ្យអ្នកវាយប្រហារធ្វើការវាយលុកចូល (hijack) ទៅក្នុងប្រព័ន្ធរបស់ Dell នៅក្នុងកុំព្យូទ័រនោះតែម្តង។
ការវាយប្រហារនេះអាចកើតមានឡើង ដោយពឹងផ្អែកលើការបញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់ចូលទៅកាន់វេបសាយណាមួយដែលមានផ្ទុកទៅដោយកូដ malicious JavaScript ដែលអាចបញ្ឆោតឱ្យកម្មវិធី Dell SupportAssist ចូលទៅទាញយក (download) និងដំណើរការឯកសារពីអ៊ិនធឺណិត (ដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់ហេគឃ័រ)។
ដោយសារតែកម្មវិធី Dell SupportAssist ដំណើរការក្នុងសិទ្ធិជា Admin អ្នកវាយប្រហារនឹងមានលទ្ធភាពអាកសេសពេញលេញទៅក្នុងប្រព័ន្ធ។
ការវាយប្រហារតម្រូវឱ្យមានការចូលទៅដល់បណ្តាញ LAN / ROUTER
លោក Demirkapi បានប្រាប់ ZDNet នៅក្នុងការសន្ទនាតាមអ៊ីម៉ែលមួយថា “អ្នកវាយប្រហារត្រូវតែមានវត្តមាននៅលើបណ្តាញរបស់ជនរងគ្រោះដើម្បីអនុវត្តន៍ ARP Spoofing Attack និង DNS Spoofing Attack នៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ ដើម្បីអាចធ្វើការដំណើរការកូដពីចម្ងាយបាន”។
វាស្តាប់ទៅហាក់ដូចជាមិនងាយស្រួលនោះទេ ក៏ប៉ុន្តែវាក៏មិនស្មុគស្មាញដូចជាយល់ឃើញនោះដែរ។
សេណារីយ៉ូពីរដែលការវាយប្រហារនេះអាចធ្វើទៅបាន ដោយរួមបញ្ចូលបណ្តាញ WiFi សាធារណៈ ឬរបស់បណ្តាញសហគ្រាសធំៗ ដែលមានយ៉ាងហោចណាស់ម៉ាស៊ីនមួយត្រូវបានហេគចូលគ្រប់គ្រង ហើយអាចត្រូវបានប្រើដើម្បីចាប់ផ្តើមការវាយប្រហារ ARP និង DNS ចូលទៅក្នុងកុំព្យូទ័រ Dell ដែលនៅជិតៗ កំពុងដំណើរការកម្មវិធី SupportAssist ។
សេណារីយ៉ូដែលអាចជឿទុកចិត្តបានមួយទៀតគឺ ស្ថិតនៅក្នុងស្ថានភាពដែលអ្នកវាយប្រហារធ្វើការវាយលុករួចគ្រប់គ្រងទៅលើ router WiFi របស់អ្នកប្រើប្រាស់ ដែលអាចឱ្យគាត់ធ្វើការកែប្រែ (alter) ទៅលើត្រាហ្វិក DNS ដោយផ្ទាល់តែម្តងនៅលើ router នោះ។
ដូចដែលយើងបានឃើញនៅក្នុងប៉ុន្មានខែកន្លងមកនេះ ការហេគចូល router ដើម្បីកែប្រែទៅលើ DNS traffic គឺមិនមែនជាការវាយប្រហារដ៏ស្មុគស្មាញទៀតឡើយ ហើយវាកំពុងតែកើតមានកាន់តែច្រើនឡើងៗ ជាទូទៅគឺដោយសារតែបញ្ហាសន្តិសុខនៅលើ router តែម្តង។
ATTACK មិនតម្រូវឱ្យមានអន្តរាគមន៍របស់អ្នកប្រើទេ
លើសពីនេះទៀតការវាយប្រហារនេះមិនតម្រូវឱ្យមានអន្តរកម្ម (interaction) ពីសំណាក់អ្នកប្រើប្រាស់ទេ លើកលែងតែការបោកបញ្ជោតឱ្យអ្នកប្រើប្រាស់ចូលទីកាន់វេបសាយណាមួយហើយកូដ JavaScript សម្រាប់វាយប្រហារនោះ ក៏អាចត្រូវបានគេបង្កប់នៅក្នុងការផ្សព្វផ្សាយ (ads iframes) នៅលើវេបសាយស្របច្បាប់ផងដែរ។
លោក Demirkapi បានពន្យល់ថា iframe នោះនឹងចង្អុលទៅ subdomain នៃ dell.com ហើយបន្ទាប់មក DNS spoofing attack និងដំណើរការពីម៉ាស៊ីន ឬ router ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ នឹងបញ្ជូនត្រឡប់នូវលេខអាសយដ្ឋាន IP មិនត្រឹមត្រូវ (fake IP) របស់ domain dell.com ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចធ្វើការត្រួតពិនិត្យនូវរាល់ឯកសារនានាដែលត្រូវបានបញ្ជូន និងដំណើរការដោយដោយឧបករណ៍ SupportAssist ។
ដំណឹងល្អនោះគឺថាក្រុមហ៊ុន Dell យករបាយការណ៍របស់អ្នកស្រាវជ្រាវហើយពិនិត្យយ៉ាងម៉ត់ចត់ ហើយបានធ្វើការអស់រយៈពេលជាច្រើនខែមកហើយដើម្បីបង្កើតនូវកម្មវិធីអាប់ដេតទៅលើថ្មីគឺ SupportAssist V3.2.0.90 ដែលទាមទារឱ្យអ្នកប្រើប្រាស់កុំព្យូទ័រ Dell ទាំងអស់ត្រូវតែតំឡើងវាចាំបាច់។
ភស្តុតាងនៃការវាយប្រហារ (proof of concept) ត្រូវបានគេដាក់នៅលើ GitHub ហើយ លោក Demirkapi ក៏បានចេញនូវវីដេអូបង្ហាញផងដែរ។ សម្រាប់អ្នកដែលចង់អានបច្ចេកទេសលំអិត ក៏អាចទាញយក vulnerability report បានផងដែរ៕