Intel wird hardwarebasierte Malware-Schutzmaßnahmen in ihre CPUs integrieren

Wenn es darum geht, Ihren Computer vor Malware zu schützen, verlassen sich die meisten Menschen auf Software. Intel kündigte eine neue, CPU-basierte Sicherheitsfunktion an, die als Control-Flow Enforcement Technology (Intel CET) bekannt ist und Schutz vor Malware bietet, die Methoden des Control-Flow-Hijackings auf Geräten mit Intels zukünftigen Tiger Lake-Mobilprozessoren verwendet.

Intel CET

Laut Intel bietet „Intel CET Softwareentwicklern zwei wichtige Funktionen, um sich gegen Malware durch Control-Flow-Hijacking zu verteidigen: Indirektes Branch-Tracking und Shadow Stack. Indirektes Branch-Tracking bietet Schutz vor indirekten Verzweigungen, um sich gegen Jump/Call-orientierte Programmierung (JOP/COP) zu verteidigen. Shadow Stack bietet Schutz vor Rücksprungadressen, um sich gegen Rücksprung-orientierte Programmierung (ROP) zu verteidigen.“

Sicherheitsniveau

Control-Flow-Hijacking-Angriffe sind eine verbreitete Art von Malware, die das Manipulieren von Speicher und die Verwendung von Jump- oder Call-orientierter Programmierung oder Rücksprung-orientierter Programmierung umfasst, um bestehenden Code zu modifizieren. Da es darum geht, den bestehenden Code einer Anwendung, wie z.B. eines Webbrowsers, zu modifizieren, um böswillige Aktionen durchzuführen, kann traditionelle Antiviren-Software dies nicht erkennen.

Um sich gegen diese Arten von Angriffen zu schützen, verfügt Intel CET über zwei wichtige Funktionen. Die erste, das indirekte Branch-Tracking, schützt vor Jump-orientierter Programmierung, indem es Angreifern verbietet, zu einem beliebigen Teil des Codes zu springen, und sie stattdessen zwingt, zum Endzweig einer Adresse zu gelangen, wodurch sichergestellt wird, dass der Angreifer den Code nicht auf ungewollte Weise modifizieren kann.

Gemeinsam von Intel und Microsoft entwickelt, ist CET darauf ausgelegt, eine Technik namens Rücksprung-orientierte Programmierung (ROP) zu vereiteln, die Hacker verwenden, um die von Softwareentwicklern vor etwa einem Jahrzehnt eingeführten Anti-Exploits-Maßnahmen zu umgehen. Während Intel seine Implementierung von CET erstmals 2016 veröffentlichte, wird die Tiger Lake CPU-Mikroarchitektur die erste sein, die sie enthält.

ROP, COP, JOP-Angriffe

IBT verteidigt sich gegen Angriffe, die Jump/Call-orientierte Programmierung (JOP und COP) verwenden, während SS sich gegen Rücksprung-orientierte Programmierung (ROP) Angriffe schützt.

Return Oriented Programming (ROP), Jump Oriented Programming (JOP) und Call Oriented Programming (COP) sind Techniken, die von Gegnern verwendet werden, um die integrierten Antimalware-Schutzmaßnahmen von Software und Betriebssystemen zu umgehen, Techniken, die weit verbreitet „in großen Klassen von Malware“ verwendet werden.