การโจมตีดังกล่าวเรียกว่า KNOB (key negotiation of Bluetooth) เป็นการโจมตีที่พุ่งเป้าไปที่การตั้งค่าอัตราส่งข้อมูลพื้นฐาน หรือแบบปรับปรุง (BR/EDR หรือ Bluetooth Classic) ทำให้ข้อมูลรั่วไหล หรือใช้ในการยกระดับสิทธิ์การเข้าถึงได้
ช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัยจาก Center for IT-Security, Privacy and Accountability (CISPA) ซึ่งมีการรายงานไปยังทางสมาพันธ์ Bluetooth ทำให้มีการออกประกาศเตือนเป็นทางการ และไมโครซอฟท์ได้แพทช์ฟีเจอร์บลูทูธของตนเองในการอัพเดทประจำเดือนนี้แล้ว
แต่การแพทช์วินโดวส์ดังกล่าวก็ไม่ได้หมายความว่าจะถูกแก้ปัญหาโดยสิ้นเชิง โดยในประกาศรายละเอียดช่องโหว่ VU#918987 นั้น ทาง CERT/CC ได้อธิบายช่องโหว่ไว้ภายใต้รหัส CVE-2019-9506 ด้วยคะแนนความร้ายแรง CVSS อยู่ที่ 9.3
ช่องโหว่นี้อยู่ที่กระบวนการระหว่างที่อุปกรณ์บลูทูธตัดสินใจ และสร้างคีย์เข้ารหัส ซึ่งจุดนี้เป็นไปได้ตั้งแต่ 1 – 16 ไบต์ ที่แค่ไบต์เดียวก็อาจให้คีย์เข้ารหัสที่มีขนาดเล็กมากเกินไปจนถูกโจมตีแบบเดาสุ่มรหัสผ่าน หรือ Brute Force โดยผู้โจมตีได้
ที่มา : Securityweek
