Intel incorporará en breve medidas antimalware directamente en sus CPU


  Un procesador de PC móvil con nombre en código Tiger Lake. Será la primera CPU en ofrecer una característica de seguridad conocida como tecnología de control de flujo de aplicación.
Ampliar / Un procesador de PC móvil con el nombre en clave Tiger Lake. Será la primera CPU en ofrecer una característica de seguridad conocida como tecnología de control de flujo de aplicación.

Intel

La historia de la piratería fue en gran medida un juego de ida y vuelta en el que los atacantes desarrollaron una técnica para romper un sistema encuentre una nueva forma de eludir la seguridad del sistema. El lunes, Intel anunció planes para organizar un nuevo desfile directamente en sus CPU para evitar que las vulnerabilidades de software ejecuten código malicioso en computadoras vulnerables.

La tecnología Control-Flow Enforcement (CET) representa un cambio fundamental en la forma en que los procesadores ejecutan instrucciones desde aplicaciones como navegadores web, clientes de correo electrónico o lectores de PDF. CET fue desarrollado conjuntamente por Intel y Microsoft para frustrar una técnica conocida como programación orientada al retorno que los hackers eluden las medidas anti-explotación que los desarrolladores de software introdujeron hace aproximadamente una década. Si bien Intel lanzó por primera vez la implementación de CET en 2016, la compañía anunció el lunes que la microarquitectura de la CPU Tiger Lake sería la primera en incluirla.

ROP, como se suele llamar a la programación orientada al retorno, fue la respuesta de las medidas de protección contra vulnerabilidades de software, como la protección del espacio ejecutable y la aleatorización del diseño del espacio de direcciones, que llegaron a Windows, MacOS y Linux hace poco menos de dos décadas. Estas medidas de seguridad están diseñadas para reducir significativamente el daño que las vulnerabilidades de software pueden causar al hacer cambios en la memoria del sistema que evitan la ejecución de códigos maliciosos. Incluso si un desbordamiento del búfer u otra vulnerabilidad se corrigió con éxito, el exploit solo resultó en un bloqueo del sistema o la aplicación, no un compromiso grave del sistema.

ROP permitió a los atacantes recuperar la meseta. En lugar de utilizar código malicioso escrito por el atacante, los ataques ROP utilizan funciones que las aplicaciones benignas o las rutinas del sistema operativo ya han almacenado en un área de memoria llamada pila. El "retorno" en ROP se refiere al uso de la instrucción RET, que es fundamental para la reordenación del flujo de código.

Muy eficaz

A Alex Ionescu, un experimentado experto en seguridad de Windows y director técnico de la firma de seguridad CrowdStrike, le gusta decir esto: si un programa inofensivo se asemeja a un edificio hecho de bloques de Lego que se construyeron en un orden específico, ROP usa las mismas piezas de Lego, sin embargo en un orden diferente ROP convierte el edificio en una nave espacial. La técnica puede evitar el anti-malware mediante el uso de código residente en memoria que ya está permitido ejecutar.

CET introduce cambios en la CPU que crean un nuevo lote llamado lote de control. Los atacantes no pueden cambiar esta pila y no guarda ningún dato. Almacena las direcciones de retorno de los bloques de Lego que ya están en la pila. Por esta razón, incluso si un atacante ha dañado una dirección de retorno en la pila de datos, la pila de control mantiene la dirección de retorno correcta. El procesador puede reconocer esto y detener la ejecución.

"Dado que no existe una mitigación de software efectiva contra ROP, CET puede detectar y detener esta clase de vulnerabilidad de manera muy efectiva", dijo Ionescu. "Anteriormente, los sistemas operativos y las soluciones de seguridad tenían que adivinar o concluir que se había producido ROP, o realizar análisis forenses o la carga útil / impacto del exploit de segundo nivel".

No es que CET se limitara a defenderse contra ROP. CET ofrece una variedad de salvaguardas adicionales, algunas de las cuales frustran las técnicas de explotación conocidas como programación orientada al salto y programación orientada a llamadas, por nombrar solo dos. Sin embargo, ROP es uno de los aspectos más interesantes de MEZ.

Aquellos que no recuerdan el pasado

Intel tiene otras características de seguridad integradas en sus CPU que hacen menos que entregar resultados sobresalientes. Uno de ellos es Intel SGX, abreviatura de Software Guard eXtension, que se supone que resuelve partes impenetrables de la memoria protegida para funciones relevantes para la seguridad, como la generación de claves criptográficas. Otro complemento de seguridad de Intel es el motor de gestión y seguridad convergente o simplemente el motor de gestión. Es un subsistema en CPU y conjuntos de chips de Intel que implementa una variedad de funciones sensibles, incluido el Trusted Platform Module basado en firmware para el cifrado basado en silicio, la autenticación del firmware UEFI BIOS, así como Microsoft System Guard y BitLocker.

Sin embargo, un flujo constante de agujeros de seguridad descubiertos en ambas funciones residentes de la CPU los ha hecho vulnerables a una variedad de ataques a lo largo de los años. Las últimas vulnerabilidades de SGX solo se anunciaron la semana pasada.

Es tentador creer que CET será igualmente fácil de derrotar o, lo que es peor, expondrá a los usuarios a hacks que no hubieran sido posibles si no se hubiera agregado protección. Sin embargo, Joseph Fitzpatrick, hacker de hardware e investigador de SecuringHardware.com, dice que su CET optimista funcionará mejor. Explicó:

Una clara diferencia, que me hace menos escéptico sobre este tipo de funciones que SGX o ME, es que ambas "agregan" funciones de seguridad en lugar de mejorar las funciones existentes. Básicamente, agregué un nivel de gestión fuera del sistema operativo. SGX agrega modos operativos que no deberían ser manipulados teóricamente por un sistema operativo malicioso o comprometido. CET solo agrega mecanismos para evitar que las operaciones normales (regresar a direcciones fuera de la pila y saltar hacia y desde los lugares incorrectos en el código) se completen con éxito. Si CET no hace su trabajo, solo es posible la operación normal. El atacante no tiene acceso a otras funciones.

Tan pronto como las CPU con capacidad CET estén disponibles, la protección solo funciona si un sistema operativo con el soporte requerido se está ejecutando en el procesador. Windows 10 versión 2004 lanzada el mes pasado ofrece este soporte. Intel aún no dice cuándo se lanzarán las CPU Tiger Lake. Si bien la protección podría ofrecer a los defensores una herramienta nueva e importante, Ionescu y su colega Yarden Shafir ya han desarrollado omisiones para ello. Espere que terminen en ataques reales dentro de la década.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *