Intel will ROP/JOB-Angriffe auf Chipebene vereiteln

Intel hat einen Ansatz entwickelt, um bestimmte Angriffe auf Speicherverwaltungsschwachstellen auf Chipebene abzufangen. Die in einer Vorschau-Spezifikation (PDF) beschriebene Control-flow Enforcement Technology (CET) soll Exploits verhindern, die Return-Oriented Programming (ROP) und Jump-Oriented Programming (JOP) nutzen.

Wikipedia schlägt dafür als deutschen Begriff rücksprungorientierte Programmierung vor. Angreifer können ROP und JOP jedenfalls nutzen, um Sicherheitsvorkehrungen von Betriebssystemen wie nicht ausführbare Speichersegmente und Codesignierung zu umgehen. So waren in der Vergangenheit etwa die Datenausführungsverhinderung (Data Execution Prevention, DEP) von Windows oder Speicherverwürfelung (Address Space Layout Randomization, ASLR) etwa von Windows und Mac OS X durch ROP und JOP umgangen worden.

„ROP- und JOP-Angriffe sind besonders schwer zu erkennen oder abzuwehren, weil der Angreifer existierenden Code im ausführbaren Speicher verwendet, um auf kreative Weise das Verhalten eines Programms zu verändern“, schreibt Baidu Patel, Direktor für Platform Security Architecture der Intel Software and Services Group (SSG). „Viele Software-basierten Erkennungs- und Verhinderungstechniken wurden bisher entwickelt und mit nur begrenztem Erfolg eingesetzt.“

Als Gegenmaßnahme führt CET so genannte Shadow Stacks ein, die nur für Control-Transfer-Operationen genutzt werden. Sie sind vom Datenstack isoliert und manipulationsgeschützt. Im Fall von Call- und Return-Anweisungen werden die angegebenen Adressen mit denen im Shadow Stack verglichen. Sollten sie nicht übereinstimmen, meldet der Chip eine Ausnahme (Control Protection Exception, #CP).

Patel zufolge ist CET der bisherige Höhepunkt einer gemeinsamen Entwicklung mit Microsoft, die seit sieben Jahren läuft und deren Ziel es ist, eine umfassende Gegenmaßnahme gegen ROP/JOP-Angriffe zu finden. „Wir wollten auch sicherstellen, dass die Lösung nicht nur auf Applikationen anwendbar ist, sondern auch auf Betriebssystem-Kerne, und dass in den meisten Programmiersprachen geschriebene Programme davon profitieren. Daneben ging es uns darum, dass CET-fähige Software ohne Änderungen auf älteren Plattformen läuft, wenn auch ohne Vorteile im Sicherheitsbereich. Zuletzt – und das ist am wichtigsten – wollten wir alle bekannten ROP/JOP-Angriffe verhindern.“

Im Rahmen der „Wintel“-Allianz stimmen Intel und Microsoft ihre Produkte seit Jahrzehnten aufeinander an. Im Januar hatte Microsoft aber die Support-Richtlinie für sein Betriebssystem Windows überarbeitet. Die Änderungen betreffen vor allem neue PCs, die von kommenden Prozessoren von Intel, AMD und Qualcomm angetrieben werden. Für sie beschränkt Microsoft den Support auf Windows 10. Windows 7 und Windows 8.1 werden auf dieser Hardware nicht mehr unterstützt. „Windows 10 ist die einzige unterstützte Windows-Plattform für Intels kommende ‚Kaby Lake‘-Chips, Qualcomms kommende ‚8996‘-Chips und AMDs kommende ‚Bristol Ridge‘-Chips“, schrieb Terry Myerson, Executive Vice President der Windows and Devices Group, in einem Blogeintrag. „Das erlaubt uns eine tiefe Integration von Windows und Chips, während wir die höchstmögliche Zuverlässigkeit und Kompatibilität mit früheren Generationen von Windows und Chips erreichen.“

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.