Forscher haben eine neue Möglichkeit gefunden, Schadsoftware vor der Erkennung durch Sicherheitsanwendungen zu schützen. Zu diesem Zweck implantieren sie Malware in dem SGX genannten sicheren Bereich von modernen Intel-Prozessoren, der eigentlich bestimmte Anwendungen vor Datenlecks und Modifikationen schützen soll.
Entdeckt wurde das Verfahren von den Forschern Michael Schwarz, Samuel Weiser und Daniel Gruss von der Technischen Universität Graz. Letzterer war auch schon an der Aufdeckung der CPU-Schwachstellen Spectre und Meltdown beteiligt, wie Ars Technica berichtet. Die Malware schleusen sie mithilfe einer harmlosen Anwendung in die SGX-Enclave ein.
Allerdings kann in der Enclave ausgeführter Code keine Dateien öffnen oder Daten von einer Festplatte lesen oder gar schreiben. Der Code in der Enclave hat jedoch Lese- und Schreibrechte für den unverschlüsselten Arbeitsspeicher eines Prozesses. Diese Eigenschaft nutzten die Forscher, um per Return Oriented Programming (ROP) eine Schadsoftware zu entwickeln, die beliebigen Code ausführt. Dabei werden kleine Fragmente von ausführbarem Code der Hostanwendung so miteinander verknüpft, dass sie Dinge erledigen können, die für die Hostanwendung gar nicht vorgesehen waren.
Ein weiteres Problem, das zu Abstürzen der Anwendung in der Enclave führen könnte, lösen sie mithilfe der Intel-Technik Transactional Sychronization Extensions (TSX). Sie erlaubt es letztlich, auf nicht zugeordneten Speicher innerhalb der Enclave zuzugreifen, obwohl normalerweise solcher Speicher außerhalb der Enclave zugeordnet würde, was besagte Abstürze zur Folge hätte. Den Forschern zufolge umgeht der SGX-ROP-Angriff zudem Sicherheitsfunktionen wie Address Sanitizer und Address Space Layout Randomization (ASLR).
Um einen Missbrauch der Enclave zu verhindern, müssen Anwendungsentwickler, die die Technik verwenden wollen, sich bei Intel registrieren. Sie erhalten ein Zertifikat zur Signierung ihres Codes, das Intel einer Whitelist hinzufügt. Diese Whitelist wird wiederum von einer von Intel signierten Enclave verwaltet, die der Prozessor ab Werk als vertrauenswürdig einstuft. Ein Malware-Entwickler würde als ein solches Zertifikat auf der Whitelist benötigen, um überhaupt eine Enclave einrichten zu können.
Auch für dieses Problem fanden die Forscher eine Lösung. Sie entwickelten einen Loader für ihre Schadsoftware. Dieser wäre harmlos und würde die benötigte Signatur erhalten, in der Praxis aber auf der Festplatte gespeicherten und verschlüsselten Schadcode laden und ausführen. Die Entschlüsselung würde dann erst in der Enclave erfolgen, wo er vor einer Erkennung durch Antivirensoftware geschützt sei.
Intel betonte in einer Stellungnahme, die Ars Technica vorliegt, dass es sich um einen theoretischen Ansatz handelt und SGX so funktioniert, wie gedacht. Intel könne nicht garantieren, dass der in einer SGX-Enclave ausgeführte Code aus einer sicheren Quelle stamme – man garantiere nur die sichere Ausführung in der Enclave. „Wir empfehlen stets die Verwendung von Programmen, Dateien, Apps und Plug-ins aus vertrauenswürdigen Quellen.“
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
