研究人員隱藏了英特爾SGX飛地中的惡意軟件

一個學術團隊已經找到了一種方法來濫用英特爾SGX飛地來隱藏安全軟件中的惡意代碼，并允許創建研究人員稱之為“超級惡意軟件”的內容。

英特爾軟件防護擴展(SGX)是所有現代英特爾CPU中的一項功能，允許開發人員將應用程序隔離在安全的“飛地”中。

這些飛地工作在CPU處理存儲器的硬件??隔離部分，應用程序可以運行處理極其敏感細節的操作，例如加密密鑰，密碼，用戶數據等。

直到今天，影響SGX飛地的唯一已知漏洞是側通道攻擊泄露了飛地內部正在處理的數據，泄露了應用程序的秘密。

但是在今天發表的一篇研究論文中，安全研究人員表明，SGX飛地可以用作隱藏無法檢測到的惡意軟件的地方。

這個前所未見的概念依賴于攻擊者能夠安裝或欺騙用戶安裝設置惡意飛地的應用程序。

創建和加載惡意飛地并不像聽起來那么容易，因為英特爾的SGX技術只接受并啟動已使用已批準密鑰的內部白名單上的簽名密鑰簽名的飛地。這些密鑰通常分發給經過批準的開發人員。

但該研究小組表示，至少有四種方法可以讓威脅行為者獲得簽名密鑰并簽署惡意飛地。

“事實上，我們收到了一位學生的報告，他們獨立于我們發現通過英特爾的流程很容易獲得這樣的簽名密鑰，”研究人員說。[我們不會列出所有四種方法，但可以在研究人員論文的第二頁找到它們。]

但是，即使攻擊者設法簽名，植入，然后運行惡意飛地，這仍然不意味著系統已被感染，因為SGX飛地也無法完全訪問本地操作系統所具有的相同類型的操作，僅限于幾個命令。

但是在他們的研究論文中，學者們通過使用稱為回歸導向編程(ROP)的開發技術來躲避英特爾交易同步擴展(TSX)，以允許惡意飛地訪問更廣泛的命令集，從而解決了這一限制。它通常有權獲得。

“我們的SGX-ROP攻擊使用新的基于TSX的內存泄露原語和隨處可寫的原語來構建來自飛地內部的代碼重用攻擊，然后由主機應用程序無意中執行，”研究團隊說。

“通過SGX-ROP，我們繞過ASLR，堆棧金絲雀，并解決消毒劑，”他們補充說。“我們證明，SGX目前不會保護用戶免受傷害，而是會帶來安全威脅，從而促進所謂的超級惡意軟件攻擊。”

該研究小組發布了概念驗證代碼，表明使用飛地惡意軟件的攻擊現在可以在實際水平上實現。

Since SGX enclaves are meant to work separately and be out of reach of the main operating system, any malicious enclave is theoretically impossible to detect by security products, and is the equivalent of a rootkit on steroids.

“英特爾意識到這項研究基于英特爾®SGX威脅模型之外的假設。英特爾SGX的價值在于在受保護的飛地執行代碼;但是，英特爾SGX不保證代碼在飛地來自可信賴的來源，“英特爾發言人通過電子郵件告訴我們。“在所有情況下，我們建議使用來自可靠來源的程序，文件，應用程序和插件。保護客戶仍然是我們的關鍵優先事項，我們要感謝Michael Schwarz，Samuel Weiser和Daniel Grus正在進行的研究和與英特爾合作進行協調的漏洞披露。“

有關詳細信息，請參閱標題為“使用英特爾SGX的實用Enclave惡意軟件”的研究論文，可從此處下載PDF格式。

這項研究也不是第一次。在本文發表前一周，英特爾安全研究員Marion Marschalek也展示了惡意代碼如何濫用SGX飛地來感染系統。視頻如下。