Forscher verstecken Malware in Intels Sicherheitsenclave SGX
Den schädlichen Code schleusen sie mit einer harmlosen Anwendung ein. Die in der Enclave ausgeführte Schadsoftware ist dort vor Zugriffen einer Antivirensoftware geschützt. Laut Intel funktioniert die Sicherheitsenclave SGX wie gedacht.
Forscher haben eine neue Möglichkeit gefunden, Schadsoftware vor der Erkennung durch Sicherheitsanwendungen zu schützen. Zu diesem Zweck implantieren sie Malware in dem SGX genannten sicheren Bereich von modernen Intel-Prozessoren, der eigentlich bestimmte Anwendungen vor Datenlecks und Modifikationen schützen soll.
Die Software Guard Extensions (SGX) sind eine Technik, die es Entwicklern erlaubt, bestimmten Code in einem sicheren Bereich auszuführen. Auf diesen Bereich haben selbst Prozesse mit höheren Benutzerrechten wie Betriebssystem, Kernel, BIOS und Hypervisor keinen Zugriff.
Entdeckt wurde das Verfahren von den Forschern Michael Schwarz, Samuel Weiser und Daniel Gruss von der Technischen Universität Graz. Letzterer war auch schon an der Aufdeckung der CPU-Schwachstellen Spectre und Meltdown beteiligt, wie Ars Technica berichtet. Die Malware schleusen sie mithilfe einer harmlosen Anwendung in die SGX-Enclave ein.
Allerdings kann in der Enclave ausgeführter Code keine Dateien öffnen oder Daten von einer Festplatte lesen oder gar schreiben. Der Code in der Enclave hat jedoch Lese- und Schreibrechte für den unverschlüsselten Arbeitsspeicher eines Prozesses. Diese Eigenschaft nutzten die Forscher, um per Return Oriented Programming (ROP) eine Schadsoftware zu entwickeln, die beliebigen Code ausführt. Dabei werden kleine Fragmente von ausführbarem Code der Hostanwendung so miteinander verknüpft, dass sie Dinge erledigen können, die für die Hostanwendung gar nicht vorgesehen waren.
Ein weiteres Problem, das zu Abstürzen der Anwendung in der Enclave führen könnte, lösen sie mithilfe der Intel-Technik Transactional Sychronization Extensions (TSX). Sie erlaubt es letztlich, auf nicht zugeordneten Speicher innerhalb der Enclave zuzugreifen, obwohl normalerweise solcher Speicher außerhalb der Enclave zugeordnet würde, was besagte Abstürze zur Folge hätte. Den Forschern zufolge umgeht der SGX-ROP-Angriff zudem Sicherheitsfunktionen wie Address Sanitizer und Address Space Layout Randomization (ASLR).
Um einen Missbrauch der Enclave zu verhindern, müssen Anwendungsentwickler, die die Technik verwenden wollen, sich bei Intel registrieren. Sie erhalten ein Zertifikat zur Signierung ihres Codes, das Intel einer Whitelist hinzufügt. Diese Whitelist wird wiederum von einer von Intel signierten Enclave verwaltet, die der Prozessor ab Werk als vertrauenswürdig einstuft. Ein Malware-Entwickler würde als ein solches Zertifikat auf der Whitelist benötigen, um überhaupt eine Enclave einrichten zu können.
Auch für dieses Problem fanden die Forscher eine Lösung. Sie entwickelten einen Loader für ihre Schadsoftware. Dieser wäre harmlos und würde die benötigte Signatur erhalten, in der Praxis aber auf der Festplatte gespeicherten und verschlüsselten Schadcode laden und ausführen. Die Entschlüsselung würde dann erst in der Enclave erfolgen, wo er vor einer Erkennung durch Antivirensoftware geschützt sei.
Intel betonte in einer Stellungnahme, die Ars Technica vorliegt, dass es sich um einen theoretischen Ansatz handelt und SGX so funktioniert, wie gedacht. Intel könne nicht garantieren, dass der in einer SGX-Enclave ausgeführte Code aus einer sicheren Quelle stamme – man garantiere nur die sichere Ausführung in der Enclave. „Wir empfehlen stets die Verwendung von Programmen, Dateien, Apps und Plug-ins aus vertrauenswürdigen Quellen.“
L15L2PB2 akkus für Lenovo IdeaPad 310-14ISK serie
DO02XL akkus für HP Pavilion X2 10 serie
L15D1P31 akkus für Lenovo Yoga Tab3 Pro YT3-X90L
45N1041 akkus für Lenovo Thinkpad T410S T420S T430S Ultrabay
A41N1421 akkus für ASUS P2520LJ PU551LA ZX50JX4200 ZX50JX4720
19.5V 16.9A 330W MSI GT80 2QE-030NL Titan SLI Gaming Netzteile/Adapters
Forscher haben eine neue Möglichkeit gefunden, Schadsoftware vor der Erkennung durch Sicherheitsanwendungen zu schützen. Zu diesem Zweck implantieren sie Malware in dem SGX genannten sicheren Bereich von modernen Intel-Prozessoren, der eigentlich bestimmte Anwendungen vor Datenlecks und Modifikationen schützen soll.
Die Software Guard Extensions (SGX) sind eine Technik, die es Entwicklern erlaubt, bestimmten Code in einem sicheren Bereich auszuführen. Auf diesen Bereich haben selbst Prozesse mit höheren Benutzerrechten wie Betriebssystem, Kernel, BIOS und Hypervisor keinen Zugriff.
Entdeckt wurde das Verfahren von den Forschern Michael Schwarz, Samuel Weiser und Daniel Gruss von der Technischen Universität Graz. Letzterer war auch schon an der Aufdeckung der CPU-Schwachstellen Spectre und Meltdown beteiligt, wie Ars Technica berichtet. Die Malware schleusen sie mithilfe einer harmlosen Anwendung in die SGX-Enclave ein.
Allerdings kann in der Enclave ausgeführter Code keine Dateien öffnen oder Daten von einer Festplatte lesen oder gar schreiben. Der Code in der Enclave hat jedoch Lese- und Schreibrechte für den unverschlüsselten Arbeitsspeicher eines Prozesses. Diese Eigenschaft nutzten die Forscher, um per Return Oriented Programming (ROP) eine Schadsoftware zu entwickeln, die beliebigen Code ausführt. Dabei werden kleine Fragmente von ausführbarem Code der Hostanwendung so miteinander verknüpft, dass sie Dinge erledigen können, die für die Hostanwendung gar nicht vorgesehen waren.
Ein weiteres Problem, das zu Abstürzen der Anwendung in der Enclave führen könnte, lösen sie mithilfe der Intel-Technik Transactional Sychronization Extensions (TSX). Sie erlaubt es letztlich, auf nicht zugeordneten Speicher innerhalb der Enclave zuzugreifen, obwohl normalerweise solcher Speicher außerhalb der Enclave zugeordnet würde, was besagte Abstürze zur Folge hätte. Den Forschern zufolge umgeht der SGX-ROP-Angriff zudem Sicherheitsfunktionen wie Address Sanitizer und Address Space Layout Randomization (ASLR).
Um einen Missbrauch der Enclave zu verhindern, müssen Anwendungsentwickler, die die Technik verwenden wollen, sich bei Intel registrieren. Sie erhalten ein Zertifikat zur Signierung ihres Codes, das Intel einer Whitelist hinzufügt. Diese Whitelist wird wiederum von einer von Intel signierten Enclave verwaltet, die der Prozessor ab Werk als vertrauenswürdig einstuft. Ein Malware-Entwickler würde als ein solches Zertifikat auf der Whitelist benötigen, um überhaupt eine Enclave einrichten zu können.
Auch für dieses Problem fanden die Forscher eine Lösung. Sie entwickelten einen Loader für ihre Schadsoftware. Dieser wäre harmlos und würde die benötigte Signatur erhalten, in der Praxis aber auf der Festplatte gespeicherten und verschlüsselten Schadcode laden und ausführen. Die Entschlüsselung würde dann erst in der Enclave erfolgen, wo er vor einer Erkennung durch Antivirensoftware geschützt sei.
Intel betonte in einer Stellungnahme, die Ars Technica vorliegt, dass es sich um einen theoretischen Ansatz handelt und SGX so funktioniert, wie gedacht. Intel könne nicht garantieren, dass der in einer SGX-Enclave ausgeführte Code aus einer sicheren Quelle stamme – man garantiere nur die sichere Ausführung in der Enclave. „Wir empfehlen stets die Verwendung von Programmen, Dateien, Apps und Plug-ins aus vertrauenswürdigen Quellen.“
L15L2PB2 akkus für Lenovo IdeaPad 310-14ISK serie
DO02XL akkus für HP Pavilion X2 10 serie
L15D1P31 akkus für Lenovo Yoga Tab3 Pro YT3-X90L
45N1041 akkus für Lenovo Thinkpad T410S T420S T430S Ultrabay
A41N1421 akkus für ASUS P2520LJ PU551LA ZX50JX4200 ZX50JX4720
19.5V 16.9A 330W MSI GT80 2QE-030NL Titan SLI Gaming Netzteile/Adapters
0 Response to "Forscher verstecken Malware in Intels Sicherheitsenclave SGX"
Kommentar veröffentlichen