Intel integrerà presto le difese anti-malware direttamente nelle sue CPU

50

Ingrandisci / Un processore per PC mobile con nome in codice Tiger Lake. Sarà la prima CPU a offrire una funzionalità di sicurezza nota come Control-Flow Enforcement Technology.

Intel

La storia dell’hacking è stata in gran parte un gioco avanti e indietro, con gli aggressori che escogitano una tecnica per violare un sistema, i difensori che costruiscono una contromisura che impedisce la tecnica e gli hacker che escogitano un nuovo modo per aggirare la sicurezza del sistema. Lunedì, Intel ha annunciato i suoi piani per inserire una nuova parata direttamente nelle sue CPU progettata per contrastare gli exploit software che eseguono codice dannoso su computer vulnerabili.

La tecnologia Control-Flow Enforcement, o CET, rappresenta un cambiamento fondamentale nel modo in cui i processori eseguono le istruzioni da applicazioni come browser Web, client di posta elettronica o lettori PDF. Sviluppato congiuntamente da Intel e Microsoft, CET è progettato per contrastare una tecnica nota come programmazione orientata al ritorno, che gli hacker utilizzano per aggirare le misure anti-exploit introdotte dagli sviluppatori di software circa un decennio fa. Mentre Intel ha pubblicato per la prima volta la sua implementazione di CET nel 2016, lunedì la società afferma che la sua microarchitettura CPU Tiger Lake sarà la prima a includerla.

ROP, come viene solitamente chiamata la programmazione orientata al ritorno, è stata la risposta degli sfruttatori di software a protezioni come Executable Space Protection e la randomizzazione del layout dello spazio degli indirizzi, che si è fatta strada in Windows, macOS e Linux poco meno di due decenni fa. Queste difese sono state progettate per ridurre significativamente i danni che gli exploit software potrebbero infliggere introducendo modifiche alla memoria di sistema che impedivano l’esecuzione di codice dannoso. Anche quando mirava con successo a un overflow del buffer o ad un’altra vulnerabilità, l’exploit ha provocato solo un arresto anomalo del sistema o dell’applicazione piuttosto che una compromissione fatale del sistema.

ROP ha permesso agli attaccanti di riconquistare le alture. Anziché utilizzare codice dannoso scritto dall’attaccante, gli attacchi ROP riutilizzano le funzioni che le applicazioni benigne o le routine del sistema operativo hanno già inserito in un’area di memoria nota come stack. Il “ritorno” in ROP si riferisce all’uso dell’istruzione RET che è fondamentale per riordinare il flusso del codice.

Annuncio

Molto efficace

Alex Ionescu, un veterano esperto di sicurezza di Windows e vicepresidente dell’ingegneria presso la società di sicurezza CrowdStrike, ama dire che se un programma benigno è come un edificio fatto di mattoncini Lego costruiti in una sequenza specifica, ROP usa gli stessi pezzi Lego ma in un ordine diverso. In tal modo, ROP converte l’edificio in un’astronave. La tecnica è in grado di aggirare le difese anti-malware perché utilizza codice residente in memoria di cui è già consentita l’esecuzione.

CET introduce modifiche nella CPU che creano un nuovo stack chiamato stack di controllo. Questo stack non può essere modificato dagli aggressori e non memorizza alcun dato. Memorizza gli indirizzi di ritorno dei mattoncini Lego che sono già nella pila. Per questo motivo, anche se un utente malintenzionato ha danneggiato un indirizzo di ritorno nello stack di dati, lo stack di controllo conserva l’indirizzo di ritorno corretto. Il processore può rilevarlo e interrompere l’esecuzione.

“Poiché non esiste un’efficace mitigazione del software contro il ROP, CET sarà molto efficace nel rilevare e fermare questa classe di vulnerabilità”, mi ha detto Ionescu. “In precedenza, i sistemi operativi e le soluzioni di sicurezza dovevano indovinare o dedurre che si fosse verificato un ROP, o eseguire analisi forensi o rilevare il carico utile/l’effetto della seconda fase dell’exploit”.

Non che il CET si limiti alle difese contro il ROP. CET fornisce una serie di protezioni aggiuntive, alcune delle quali ostacolano le tecniche di sfruttamento note come programmazione orientata al salto e programmazione orientata alle chiamate, solo per citarne due. Il ROP, tuttavia, è tra gli aspetti più interessanti del CET.

Coloro che non ricordano il passato

Intel ha integrato altre funzioni di sicurezza nelle sue CPU con risultati tutt’altro che stellari. Uno è SGX di Intel, abbreviazione di Software Guard eXtension, che dovrebbe ritagliarsi blocchi impenetrabili di memoria protetta per funzioni sensibili alla sicurezza come la creazione di chiavi crittografiche. Un altro componente aggiuntivo per la sicurezza di Intel è noto come Converged Security and Management Engine, o semplicemente Management Engine. È un sottosistema all’interno di CPU e chipset Intel che implementa una serie di funzioni sensibili, tra cui il Trusted Platform Module basato su firmware utilizzato per la crittografia basata su silicio, l’autenticazione del firmware UEFI BIOS e Microsoft System Guard e BitLocker.

Pubblicità Un flusso costante di falle di sicurezza scoperte in entrambe le funzionalità residenti nella CPU, tuttavia, le ha rese vulnerabili a una varietà di attacchi nel corso degli anni. Le più recenti vulnerabilità SGX sono state divulgate solo la scorsa settimana.

Si è tentati di pensare che il CET sarà altrettanto facile da sconfiggere, o peggio, esporrà gli utenti ad hack che non sarebbero possibili se non fosse stata aggiunta la protezione. Ma Joseph Fitzpatrick, un hacker hardware e ricercatore presso SecuringHardware.com, afferma di essere ottimista che il CET funzionerà meglio. Lui ha spiegato:

Una netta differenza che mi rende meno scettico su questo tipo di funzionalità rispetto a qualcosa come SGX o ME è che entrambi stanno “aggiungendo” funzionalità di sicurezza, invece di rafforzare le funzionalità esistenti. ME ha sostanzialmente aggiunto un livello di gestione al di fuori del sistema operativo. SGX aggiunge modalità operative che teoricamente non dovrebbero essere manipolate da un sistema operativo dannoso o compromesso. CET aggiunge semplicemente meccanismi per impedire che il normale funzionamento, tornare a indirizzi fuori dallo stack e saltare dentro e fuori dai posti sbagliati nel codice, venga completato correttamente. Il mancato svolgimento del proprio lavoro da parte di CET consente solo il normale funzionamento. Non garantisce all’attaccante l’accesso a più capacità.

Una volta che le CPU compatibili con CET sono disponibili, la protezione funzionerà solo quando il processore esegue un sistema operativo con il supporto necessario. Windows 10 versione 2004 rilasciata il mese scorso fornisce tale supporto. Intel non dice ancora quando verranno rilasciate le CPU Tiger Lake. Mentre la protezione potrebbe fornire ai difensori un nuovo importante strumento, Ionescu e il collega ricercatore Yarden Shafir hanno già escogitato dei bypass per questo. Aspettati che finiscano in attacchi nel mondo reale entro il decennio.