Intel: nouvelle protection pour les processeurs Tiger Lake

La prochaine classe de processeurs mobiles d’Intel, appelée «Tiger Lake», comportera une couche de sécurité attendue depuis longtemps, appelée Control-flow Enforcement Technology (CET), qui vise à protéger contre les attaques de logiciels malveillants courants.

CET protège contre les attaques de flux de contrôle des processeurs, qui se réfère à l’ordre dans lequel les différentes fonctions sont exécutées. Auparavant, les pirates ciblaient le flux de contrôle dans des attaques où ils détournaient les processus et modifiaient les instructions. Cela pourrait éventuellement leur permettre d’exécuter du code arbitraire sur les systèmes des victimes.

«Intel CET offre des capacités de sécurité au niveau du processeur pour aider à se protéger contre les méthodes d’attaques malveillantes courantes qui sont compliquées à atténuer avec un logiciel», a déclaré Tom Garrison, vice-président et directeur général de la stratégie et des initiatives de sécurité client chez Intel, dans un article. «Ces types de méthodes d’attaque font partie d’une classe de logiciels malveillants appelés problèmes de sécurité de la mémoire et incluent des tactiques telles que la corruption du débordement de la mémoire tampon de la pile et l’utilisation après libération(use-after-free).»

intel cacheout

2 types de protection pour les puces Tiger Lake d’Intel

Les prochains processeurs Tiger Lake d’Intel (qui ont été annoncés pour la première fois en Janvier) sont les premiers à être équipés d’Intel CET, qui combattra les attaques de détournement de flux de contrôle en ajoutant deux types de protection.

La première protection est le suivi de branche indirect (IBT), qui se défend contre les attaques ‘call-oriented programming’ ou jump-‘oriented programming’ (COP et JOP). Ces types d’attaques de réutilisation de code se produisent lorsque de courtes séquences de code qui se terminent par des instructions d’appel et de saut spécifiques sont localisées et enchaînées dans un ordre spécifique, afin d’exécuter les payloads des pirates. IBT empêche cela en créant une nouvelle instruction, ENDBRANCH, qui suit toutes les instructions d’appel et de saut indirect pour détecter toute violation du flux de contrôle.

La deuxième protection est le shadow stack (SS) ou pile d’ombres. La pile d’ombres aide à se défendre contre les attaques de programmation orientée retour (ROP). Ces types d’attaques se concentrent sur les instructions de retour dans un flux de contrôle et sont destinées à récupérer l’adresse de la prochaine instruction dans la pile et à exécuter des instructions à partir de cette adresse. Dans les attaques ROP, un attaquant abuse de ces instructions de retour pour assembler un flux de code malveillant.

intel

La pile d’ombre (distincte de la pile de données) empêche cela en ajoutant une protection d’adresse de retour. Lorsque les piles de clichés instantanés sont activées, l’instruction CALL sur un processeur envoie l’adresse de retour à la fois sur la pile de données et sur la pile d’ombres et s’assure qu’elles correspondent.

«Les attaques JOP ou ROP peuvent être particulièrement difficiles à détecter ou à stopper car l’attaquant utilise le code existant exécuté à partir de la mémoire exécutable de manière créative pour changer le comportement du programme», a déclaré Baiju Patel, membre du groupe informatique client d’Intel. «Ce qui rend difficile la détection ou la prévention de ROP/JOP, c’est le fait que l’attaquant utilise le code existant exécuté à partir de la mémoire exécutable. De nombreuses techniques de détection et de prévention utilisant des logiciels ont été développées et déployées avec un succès limité. »

Intel a publié les premiers détails de CET en 2016. Divers fabricants de logiciels ont ajouté la prise en charge de la technologie dans leurs produits, y compris Microsoft dans sa protection de pile pour Windows.

Alors que CET est sur le point d’être lancé pour la gamme mobile d’Intel, la technologie sera bientôt disponible sur les plates-formes de bureau et de serveur.

Si cet article vous a plu, jetez un œil à notre article précédent.