Intel führt CET-Sicherheit ein

Intel will seine Abwehrkräfte stärken und hat daher angekündigt, dass seine experimentelle CET-Sicherheitsfunktion (Control-flow Enforcement Technology) erstmals in den kommenden mobilen Tiger Lake CPUs verfügbar sein wird.

Intel arbeitet bereits seit 2016 an CET, aktuell ist die Version 3.0 von Mai 2019 gültig. Wie der Name schon andeutet, handelt es sich bei CET um einen „Kontrollfluss“. Das ist ein technischer Begriff, der die Reihenfolge beschreibt, in der Operationen innerhalb der CPU ausgeführt werden.

Malware, die auf einem Gerät ausgeführt wird, kann Schwachstellen in anderen Anwendungen nutzen, um deren Kontrollfluss zu kapern und ihren bösartigen Code so einzufügen, dass er im Kontext einer anderen Anwendung ausgeführt wird.

Auf Intels zukünftigen mobilen Tiger Lake-CPUs wird CET den Kontrollfluss durch zwei neue Sicherheitsmechanismen schützen, nämlich durch Shadow Stack und indirekte Zweigverfolgung (indirect Branch Tracking, IBT).

Der Shadow Stack erstellt eine Kopie des beabsichtigten Kontrollflusses einer Anwendung. Dieser wird dann in einem sicheren Bereich der CPU abgespeichert, um sicherzustellen, dass keine unbefugten Änderungen in der beabsichtigten Ausführungsreihenfolge einer Anwendung stattfinden.

Laut Intel schützt der CET  Shadow Stack die Anwender vor einer Technik namens Return Oriented Programming (ROP), bei der Malware die RET-(Return)-Anweisung missbraucht, um ihren bösartigen Code an den Kontrollfluss einer legitimen Anwendung anzuhängen.

Die indirekte Zweigverfolgung schränkt die Fähigkeit einer Anwendung ein, CPU-Jump Tables (Sprungtabellen) zu verwenden, d.h. Tabellen, die Speicherstellen enthalten, die über den Kontrollfluss einer Anwendung (wieder) verwendet werden und bietet darüber hinaus zusätzliche Schutzmechanismen.

Indirektes Branch-Tracking hilft laut Intel bei der Abwehr von zwei Techniken namens JOP (Jump Oriented Programming) und COP (Call Oriented Programming), bei denen Malware die JMP- (jump) oder CALL-Anweisungen missbraucht, um die Sprungtabellen einer legitimen Anwendung zu kapern.

Da Intel die CET-Spezifikation bereits 2016 veröffentlichte, hatten die Softwarehersteller genügend Zeit, ihren Code für die erste Serie von Intel-CPUs mit CET anzupassen.

Die CET-Unterstützung hat es bereits in die Glibc geschafft, und Microsoft hat die CET-Unterstützung auch Windows Insiders als eine Funktion namens Hardware-enforced Stack Protection hinzugefügt.

Jetzt muss Intel nur noch die CPUs ausliefern, die CET-Befehle unterstützen, so dass Anwendungen und Betriebssysteme die Unterstützung aktivieren und sich für den CET-Schutz entscheiden können. CET wird zunächst für Intels Produktlinie mobiler CPUs eingeführt, die die Tiger Lake-Mikroarchitektur verwenden, aber die Technologie wird später auch in Desktop- und Server-Plattformen verfügbar sein.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Jakob Jung

Recent Posts

71 Opfer seit September: Forscher warnen vor Ransomware Egregor

Die Hintermänner sind bisher in 19 Ländern aktiv. Die Mehrheit der Opfer befindet sich jedoch…

40 Minuten ago

Threat Hunting – Informieren und abwehren

Threat Detection and Response (TDR) stärkt die Abwehrkräfte von Unternehmen. Dabei geht es darum, Angriffe…

16 Stunden ago

HP und Dell übertreffen die Erwartungen um dritten Quartal

Allerdings erzielt nur Dell ein Umsatzwachstum. Beide Unternehmen profitieren jedoch von einer hohen Nachfrage nach…

17 Stunden ago

Xiaomi meldet Gewinnanstieg von 19 Prozent

Der Umsatz klettert um 34,5 Prozent auf umgerechnet 9,24 Milliarden Euro. Die Smartphonesparte verbessert ihr…

19 Stunden ago

Nach US-Wahl: Facebook optimiert News Feed für „zuverlässige“ Nachrichten

CEO Mark Zuckerberg segnet eine Änderung des Algorithmus für den News Feed ab. Sie erhöht…

20 Stunden ago

Hacker setzen durchgesickerte Passwörter gegen Spotify-Konten ein

Eine Datenbank mit 380 Millionen Einträgen enthält auch gültige Anmeldedaten für den Streamingdienst. Spotify setzt…

22 Stunden ago