Forscher verstecken Malware in Intels Sicherheitsenclave SGX

Forscher haben eine neue Möglichkeit gefunden, Schadsoftware vor der Erkennung durch Sicherheitsanwendungen zu schützen. Zu diesem Zweck implantieren sie Malware in dem SGX genannten sicheren Bereich von modernen Intel-Prozessoren, der eigentlich bestimmte Anwendungen vor Datenlecks und Modifikationen schützen soll.

Die Software Guard Extensions (SGX) sind eine Technik, die es Entwicklern erlaubt, bestimmten Code in einem sicheren Bereich auszuführen. Auf diesen Bereich haben selbst Prozesse mit höheren Benutzerrechten wie Betriebssystem, Kernel, BIOS und Hypervisor keinen Zugriff.

Entdeckt wurde das Verfahren von den Forschern Michael Schwarz, Samuel Weiser und Daniel Gruss von der Technischen Universität Graz. Letzterer war auch schon an der Aufdeckung der CPU-Schwachstellen Spectre und Meltdown beteiligt, wie Ars Technica berichtet. Die Malware schleusen sie mithilfe einer harmlosen Anwendung in die SGX-Enclave ein.

Allerdings kann in der Enclave ausgeführter Code keine Dateien öffnen oder Daten von einer Festplatte lesen oder gar schreiben. Der Code in der Enclave hat jedoch Lese- und Schreibrechte für den unverschlüsselten Arbeitsspeicher eines Prozesses. Diese Eigenschaft nutzten die Forscher, um per Return Oriented Programming (ROP) eine Schadsoftware zu entwickeln, die beliebigen Code ausführt. Dabei werden kleine Fragmente von ausführbarem Code der Hostanwendung so miteinander verknüpft, dass sie Dinge erledigen können, die für die Hostanwendung gar nicht vorgesehen waren.

Ein weiteres Problem, das zu Abstürzen der Anwendung in der Enclave führen könnte, lösen sie mithilfe der Intel-Technik Transactional Sychronization Extensions (TSX). Sie erlaubt es letztlich, auf nicht zugeordneten Speicher innerhalb der Enclave zuzugreifen, obwohl normalerweise solcher Speicher außerhalb der Enclave zugeordnet würde, was besagte Abstürze zur Folge hätte. Den Forschern zufolge umgeht der SGX-ROP-Angriff zudem Sicherheitsfunktionen wie Address Sanitizer und Address Space Layout Randomization (ASLR).

Um einen Missbrauch der Enclave zu verhindern, müssen Anwendungsentwickler, die die Technik verwenden wollen, sich bei Intel registrieren. Sie erhalten ein Zertifikat zur Signierung ihres Codes, das Intel einer Whitelist hinzufügt. Diese Whitelist wird wiederum von einer von Intel signierten Enclave verwaltet, die der Prozessor ab Werk als vertrauenswürdig einstuft. Ein Malware-Entwickler würde als ein solches Zertifikat auf der Whitelist benötigen, um überhaupt eine Enclave einrichten zu können.

Auch für dieses Problem fanden die Forscher eine Lösung. Sie entwickelten einen Loader für ihre Schadsoftware. Dieser wäre harmlos und würde die benötigte Signatur erhalten, in der Praxis aber auf der Festplatte gespeicherten und verschlüsselten Schadcode laden und ausführen. Die Entschlüsselung würde dann erst in der Enclave erfolgen, wo er vor einer Erkennung durch Antivirensoftware geschützt sei.

Intel betonte in einer Stellungnahme, die Ars Technica vorliegt, dass es sich um einen theoretischen Ansatz handelt und SGX so funktioniert, wie gedacht. Intel könne nicht garantieren, dass der in einer SGX-Enclave ausgeführte Code aus einer sicheren Quelle stamme – man garantiere nur die sichere Ausführung in der Enclave. „Wir empfehlen stets die Verwendung von Programmen, Dateien, Apps und Plug-ins aus vertrauenswürdigen Quellen.“