Forscher verstecken Malware in Intels Sicherheitsenclave SGX

Forscher haben eine neue Möglichkeit gefunden, Schadsoftware vor der Erkennung durch Sicherheitsanwendungen zu schützen. Zu diesem Zweck implantieren sie Malware in dem SGX genannten sicheren Bereich von modernen Intel-Prozessoren, der eigentlich bestimmte Anwendungen vor Datenlecks und Modifikationen schützen soll.

Die Software Guard Extensions (SGX) sind eine Technik, die es Entwicklern erlaubt, bestimmten Code in einem sicheren Bereich auszuführen. Auf diesen Bereich haben selbst Prozesse mit höheren Benutzerrechten wie Betriebssystem, Kernel, BIOS und Hypervisor keinen Zugriff.

Entdeckt wurde das Verfahren von den Forschern Michael Schwarz, Samuel Weiser und Daniel Gruss von der Technischen Universität Graz. Letzterer war auch schon an der Aufdeckung der CPU-Schwachstellen Spectre und Meltdown beteiligt, wie Ars Technica berichtet. Die Malware schleusen sie mithilfe einer harmlosen Anwendung in die SGX-Enclave ein.

Allerdings kann in der Enclave ausgeführter Code keine Dateien öffnen oder Daten von einer Festplatte lesen oder gar schreiben. Der Code in der Enclave hat jedoch Lese- und Schreibrechte für den unverschlüsselten Arbeitsspeicher eines Prozesses. Diese Eigenschaft nutzten die Forscher, um per Return Oriented Programming (ROP) eine Schadsoftware zu entwickeln, die beliebigen Code ausführt. Dabei werden kleine Fragmente von ausführbarem Code der Hostanwendung so miteinander verknüpft, dass sie Dinge erledigen können, die für die Hostanwendung gar nicht vorgesehen waren.

Ein weiteres Problem, das zu Abstürzen der Anwendung in der Enclave führen könnte, lösen sie mithilfe der Intel-Technik Transactional Sychronization Extensions (TSX). Sie erlaubt es letztlich, auf nicht zugeordneten Speicher innerhalb der Enclave zuzugreifen, obwohl normalerweise solcher Speicher außerhalb der Enclave zugeordnet würde, was besagte Abstürze zur Folge hätte. Den Forschern zufolge umgeht der SGX-ROP-Angriff zudem Sicherheitsfunktionen wie Address Sanitizer und Address Space Layout Randomization (ASLR).

Um einen Missbrauch der Enclave zu verhindern, müssen Anwendungsentwickler, die die Technik verwenden wollen, sich bei Intel registrieren. Sie erhalten ein Zertifikat zur Signierung ihres Codes, das Intel einer Whitelist hinzufügt. Diese Whitelist wird wiederum von einer von Intel signierten Enclave verwaltet, die der Prozessor ab Werk als vertrauenswürdig einstuft. Ein Malware-Entwickler würde als ein solches Zertifikat auf der Whitelist benötigen, um überhaupt eine Enclave einrichten zu können.

Auch für dieses Problem fanden die Forscher eine Lösung. Sie entwickelten einen Loader für ihre Schadsoftware. Dieser wäre harmlos und würde die benötigte Signatur erhalten, in der Praxis aber auf der Festplatte gespeicherten und verschlüsselten Schadcode laden und ausführen. Die Entschlüsselung würde dann erst in der Enclave erfolgen, wo er vor einer Erkennung durch Antivirensoftware geschützt sei.

Intel betonte in einer Stellungnahme, die Ars Technica vorliegt, dass es sich um einen theoretischen Ansatz handelt und SGX so funktioniert, wie gedacht. Intel könne nicht garantieren, dass der in einer SGX-Enclave ausgeführte Code aus einer sicheren Quelle stamme – man garantiere nur die sichere Ausführung in der Enclave. „Wir empfehlen stets die Verwendung von Programmen, Dateien, Apps und Plug-ins aus vertrauenswürdigen Quellen.“

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

2 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

2 Tagen ago

AWS nutzt Fedora Linux für sein cloudbasiertes Amazon Linux

Ziel ist die Integration von Red Hat Enterprise Linux. Das Betriebssystem ist für Amazon EC2…

2 Tagen ago

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

2 Tagen ago

Kubernetes gegen Ransomware

Container sind mittlerweile nicht mehr vor Attacken gefeit. Veritas verrät sechs Tipps, um Kubernetes-Daten vor…

2 Tagen ago

Storage-Tiering – ein obsoletes Paradigma

Das traditionelle Tiering von Speicherinfrastruktur in verschiedene Klassen je nach Alter der Daten und Zugriffswahrscheinlichkeit…

2 Tagen ago