英特尔即将推出嵌入防毒技术的处理器
文/陈晓莉 | 2020-06-17发表
英特尔(Intel)本周宣布,预计于今年推出的Tiger Lake行动处理器,都将嵌入原本只
能透过防毒软件提供的防毒技术,此一“控制流强制技术”(Intel Control-Flow
Enforcement Technology,Intel CET)将能用来减轻与内存有关的安全问题,同时已
获得微软的支持。
Intel CET主要用来解决骇客滥用合法程式码,以执行控制流挟持(control-flow
hijacking)的攻击行为,借由建立影子堆叠(Shadow Stack)来防范返回导向程式设计
(Return Oriented Programming,ROP)攻击,以及建立间接分支追踪( Indirect
Branch Tracking)能力,来预防跳转导向程式设计(Jump Oriented Programming,JOP
)攻击。
英特尔说明,不管是ROP或JOP都是利用可执行内存中既有的程式码来发动攻击,目的是
变更程式的行为,也因此,它很难被侦测与避免,坊间许多基于软件的安全工具都只能达
到有限的成效。
其中,ROP攻击是利用返回(RET)指令来变更程式中的指令顺序,以改变程式行为,进而
允许骇客扩充权限或突破沙箱流程,而Intel CET则允许作业系统建立一个影子堆叠,以
保护程式码的内存存取,同时存放CPU返回位址的备份;因此,就算骇客能够变更资料
堆叠中的返回位址,也无法改变影子堆叠,当CET侦测到资料堆叠与影子堆叠不相符时,
就能向作业系统检举,进而阻挡攻击行动。
至于其它非直接的分支指令,像是Call或Jump,则能用来发动呼叫或跳转导向程式设计攻
击,对此,CET则是嵌入了非直接分支追踪能力,以让作业系统能够限制相关攻击。
英特尔引用了趋势科技Zero Day Initiative(ZDI)的统计,显示在ZDI于去年所揭露的
1,097个安全漏洞中,有高达63.2%与内存的安全性有关,这类的恶意程式通常锁定作业
系统、浏览器或其它应用程式。英特尔认为,若能将相关的防御能力嵌入硬件中,既能提
供有效的安全机制,还能减少对效能的冲击。
Tiger Lake行动处理器采用了英特尔10奈米制程,宣称大幅改善了AI与绘图效能,整体效
能将有两位数的成长,也整合有4倍USB 3吞吐量的Thunderbolt 4,预计今年就会出货。
英特尔已主动与微软及其它伙伴合作,以利用CET技术来扩展,过去只有软件才能执行的
控制流完整性解决方案,微软也已承诺将支持CET。微软作业系统安全性总监David
Weston表示,随着Windows作业系统内建愈来愈多的主动保护机制,骇客也随之转移注意
力,借由挟持控制流来破坏内存的安全性。
Weston说,微软已与英特尔合作,以推动此一基于硬件的强制堆叠保护技术,在Windows
10中称为Hardware-enforced Stack Protection,使用者可透过opt-in功能加入相关的保
护,目前该功能已经现身于微软本周释出的Windows 10 Insider Previews中。
不过,由于此一功能是由英特尔所开发,必须仰赖相容于CET指令的CPU架构,因此
Windows 10上的Hardware-enforced Stack Protection功能将只支援Tiger Lake或之后的
处理器版本,并不会支援采用其它架构的处理器。
https://www.ithome.com.tw/news/138260
就不要像Intel ME一样到后面抓到一堆漏洞和Bug