Categories: Sicherheit

Intel will ROP/JOB-Angriffe auf Chipebene vereiteln

Intel hat einen Ansatz entwickelt, um bestimmte Angriffe auf Speicherverwaltungsschwachstellen auf Chipebene abzufangen. Die in einer Vorschau-Spezifikation (PDF) beschriebene Control-flow Enforcement Technology (CET) soll Exploits verhindern, die Return-Oriented Programming (ROP) und Jump-Oriented Programming (JOP) nutzen.

Wikipedia schlägt dafür als deutschen Begriff rücksprungorientierte Programmierung vor. Angreifer können ROP und JOP jedenfalls nutzen, um Sicherheitsvorkehrungen von Betriebssystemen wie nicht ausführbare Speichersegmente und Codesignierung zu umgehen. So waren in der Vergangenheit etwa die Datenausführungsverhinderung (Data Execution Prevention, DEP) von Windows oder Speicherverwürfelung (Address Space Layout Randomization, ASLR) etwa von Windows und Mac OS X durch ROP und JOP umgangen worden.

„ROP- und JOP-Angriffe sind besonders schwer zu erkennen oder abzuwehren, weil der Angreifer existierenden Code im ausführbaren Speicher verwendet, um auf kreative Weise das Verhalten eines Programms zu verändern“, schreibt Baidu Patel, Direktor für Platform Security Architecture der Intel Software and Services Group (SSG). „Viele Software-basierten Erkennungs- und Verhinderungstechniken wurden bisher entwickelt und mit nur begrenztem Erfolg eingesetzt.“

Als Gegenmaßnahme führt CET so genannte Shadow Stacks ein, die nur für Control-Transfer-Operationen genutzt werden. Sie sind vom Datenstack isoliert und manipulationsgeschützt. Im Fall von Call- und Return-Anweisungen werden die angegebenen Adressen mit denen im Shadow Stack verglichen. Sollten sie nicht übereinstimmen, meldet der Chip eine Ausnahme (Control Protection Exception, #CP).

HIGHLIGHT

Admin-Tipps für Office 365

Office 365 ermöglicht vielfältige Einstellungsmöglichkeiten für Anwender und Administratoren. Kostenlose Zusatztools und die PowerShell helfen dabei, Office 365 optimal zu konfigurieren.

Patel zufolge ist CET der bisherige Höhepunkt einer gemeinsamen Entwicklung mit Microsoft, die seit sieben Jahren läuft und deren Ziel es ist, eine umfassende Gegenmaßnahme gegen ROP/JOP-Angriffe zu finden. „Wir wollten auch sicherstellen, dass die Lösung nicht nur auf Applikationen anwendbar ist, sondern auch auf Betriebssystem-Kerne, und dass in den meisten Programmiersprachen geschriebene Programme davon profitieren. Daneben ging es uns darum, dass CET-fähige Software ohne Änderungen auf älteren Plattformen läuft, wenn auch ohne Vorteile im Sicherheitsbereich. Zuletzt – und das ist am wichtigsten – wollten wir alle bekannten ROP/JOP-Angriffe verhindern.“

Im Rahmen der „Wintel“-Allianz stimmen Intel und Microsoft ihre Produkte seit Jahrzehnten aufeinander an. Im Januar hatte Microsoft aber die Support-Richtlinie für sein Betriebssystem Windows überarbeitet. Die Änderungen betreffen vor allem neue PCs, die von kommenden Prozessoren von Intel, AMD und Qualcomm angetrieben werden. Für sie beschränkt Microsoft den Support auf Windows 10. Windows 7 und Windows 8.1 werden auf dieser Hardware nicht mehr unterstützt. „Windows 10 ist die einzige unterstützte Windows-Plattform für Intels kommende ‚Kaby Lake‘-Chips, Qualcomms kommende ‚8996‘-Chips und AMDs kommende ‚Bristol Ridge‘-Chips“, schrieb Terry Myerson, Executive Vice President der Windows and Devices Group, in einem Blogeintrag. „Das erlaubt uns eine tiefe Integration von Windows und Chips, während wir die höchstmögliche Zuverlässigkeit und Kompatibilität mit früheren Generationen von Windows und Chips erreichen.“

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

16 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

20 Stunden ago