Software malicioso "protegido" en enclaves SGX de Intel (prueba de concepto)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto una forma de ocultar el código malicioso en los enclaves de Intel SGX, una función de cifrado de memoria basada en hardware en los procesadores modernos que aísla el código y los datos confidenciales para protegerlos de revelaciones o modificaciones.

En otras palabras, la técnica permite a los atacantes implantar un código malicioso en una memoria segura que utiliza características de protección de SGX que, de otro modo, están diseñadas para proteger datos importantes de miradas indiscretas o para que no sean manipulados, incluso en un sistema comprometido.

Introducido con los procesadores Skylake de Intel, SGX (Software Guard Extensions) permite a los desarrolladores ejecutar módulos de aplicaciones seleccionados en una región segura y completamente aislada, llamada enclaves, que están diseñados para protegerse de procesos que se ejecutan en niveles de privilegios más altos como el sistema operativo, el kernel. , BIOS, SMM, hipervisor, etc.

Sin embargo, un equipo de investigadores, algunos de los cuales estaban detrás del descubrimiento de las fallas de la CPU Spectre-Meltdown, lograron eludir esta protección, y obtuvieron su propia aplicación maliciosa en los enclaves seguros, al aprovechar la antigua técnica de programación orientada al retorno (ROP).

El ataque también usa las eXtensiones de Sincronización Transaccional (TSX), que se encuentran en las modernas CPU de Intel, junto con una novedosa técnica de lectura de primitivas resistentes a fallas, llamada Sondeo de Direcciones basado en TSX (TAP).



TAP usa TSX para determinar si el proceso actual puede acceder a una dirección virtual, y esta exploración de la memoria es indetectable porque las aplicaciones a nivel de sistema operativo no pueden mirar dentro de un enclave, por diseño.

Para determinar si una página de memoria se puede escribir, el equipo desarrolló una escritura primitiva resistente a fallos, Comprobación de Direcciones disponibles para Escritura (Checking Located Addresses for Writability - CLAW), que encapsula la instrucción de escritura para la página de memoria de destino, dentro de una transacción TSX y cancela explícitamente la transacción después de la escritura.

Después de eso, la capacidad de escritura de la página de memoria de destino, se puede deducir en función del valor de retorno de la transacción.

Una vez que el malware ingresa, la confidencialidad e integridad que SGX garantiza fundamentalmente a los programas legítimos, estaría comprometida, y también prohibiría a los investigadores o soluciones de seguridad, detectar y analizar el malware dentro de dicho enclave.

Esto eventualmente, permitiría que la aplicación de malware omita varias tecnologías de seguridad, como la asignación aleatoria del diseño del espacio de direcciones (ASLR) a nivel del sistema operativo, entre otros, además de ejecutar código arbitrario en el sistema de destino.

Los investigadores dijeron que la prueba de concepto a través de un exploit, desarrollado por su equipo evitó todas las normativas de serguridad para "ejecutar los gadgets ROP en el contexto del host, y permitir el malware", señalando que todo el proceso de exploit tomó 20.8 segundos.

Al final, los académicos llegaron a la conclusión de que, en lugar de "proteger a los usuarios de cualquier daño, SGX representa actualmente una amenaza para la seguridad, lo que facilita el llamado súper malware".

Las mitigaciones contra tales ataques podrían implementarse en las generaciones futuras de CPU Intel que mejoren la capacidad de los enclaves SGX. Si bien algunas de esas mitigaciones requerirían cambios en el nivel de hardware sin costar ningún rendimiento, algunas no requerirían modificaciones de hardware, pero cambiarían parte del rendimiento.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
[/size]