Forscher verstecken Malware in Intels Sicherheitsenclave SGX

Forscher haben eine neue Möglichkeit gefunden, Schadsoftware vor der Erkennung durch Sicherheitsanwendungen zu schützen. Zu diesem Zweck implantieren sie Malware in dem SGX genannten sicheren Bereich von modernen Intel-Prozessoren, der eigentlich bestimmte Anwendungen vor Datenlecks und Modifikationen schützen soll.

Die Software Guard Extensions (SGX) sind eine Technik, die es Entwicklern erlaubt, bestimmten Code in einem sicheren Bereich auszuführen. Auf diesen Bereich haben selbst Prozesse mit höheren Benutzerrechten wie Betriebssystem, Kernel, BIOS und Hypervisor keinen Zugriff.

Entdeckt wurde das Verfahren von den Forschern Michael Schwarz, Samuel Weiser und Daniel Gruss von der Technischen Universität Graz. Letzterer war auch schon an der Aufdeckung der CPU-Schwachstellen Spectre und Meltdown beteiligt, wie Ars Technica berichtet. Die Malware schleusen sie mithilfe einer harmlosen Anwendung in die SGX-Enclave ein.

Allerdings kann in der Enclave ausgeführter Code keine Dateien öffnen oder Daten von einer Festplatte lesen oder gar schreiben. Der Code in der Enclave hat jedoch Lese- und Schreibrechte für den unverschlüsselten Arbeitsspeicher eines Prozesses. Diese Eigenschaft nutzten die Forscher, um per Return Oriented Programming (ROP) eine Schadsoftware zu entwickeln, die beliebigen Code ausführt. Dabei werden kleine Fragmente von ausführbarem Code der Hostanwendung so miteinander verknüpft, dass sie Dinge erledigen können, die für die Hostanwendung gar nicht vorgesehen waren.

Ein weiteres Problem, das zu Abstürzen der Anwendung in der Enclave führen könnte, lösen sie mithilfe der Intel-Technik Transactional Sychronization Extensions (TSX). Sie erlaubt es letztlich, auf nicht zugeordneten Speicher innerhalb der Enclave zuzugreifen, obwohl normalerweise solcher Speicher außerhalb der Enclave zugeordnet würde, was besagte Abstürze zur Folge hätte. Den Forschern zufolge umgeht der SGX-ROP-Angriff zudem Sicherheitsfunktionen wie Address Sanitizer und Address Space Layout Randomization (ASLR).

Um einen Missbrauch der Enclave zu verhindern, müssen Anwendungsentwickler, die die Technik verwenden wollen, sich bei Intel registrieren. Sie erhalten ein Zertifikat zur Signierung ihres Codes, das Intel einer Whitelist hinzufügt. Diese Whitelist wird wiederum von einer von Intel signierten Enclave verwaltet, die der Prozessor ab Werk als vertrauenswürdig einstuft. Ein Malware-Entwickler würde als ein solches Zertifikat auf der Whitelist benötigen, um überhaupt eine Enclave einrichten zu können.

Auch für dieses Problem fanden die Forscher eine Lösung. Sie entwickelten einen Loader für ihre Schadsoftware. Dieser wäre harmlos und würde die benötigte Signatur erhalten, in der Praxis aber auf der Festplatte gespeicherten und verschlüsselten Schadcode laden und ausführen. Die Entschlüsselung würde dann erst in der Enclave erfolgen, wo er vor einer Erkennung durch Antivirensoftware geschützt sei.

Intel betonte in einer Stellungnahme, die Ars Technica vorliegt, dass es sich um einen theoretischen Ansatz handelt und SGX so funktioniert, wie gedacht. Intel könne nicht garantieren, dass der in einer SGX-Enclave ausgeführte Code aus einer sicheren Quelle stamme – man garantiere nur die sichere Ausführung in der Enclave. „Wir empfehlen stets die Verwendung von Programmen, Dateien, Apps und Plug-ins aus vertrauenswürdigen Quellen.“

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

5 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Woche ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago