Beveiligingsfunctie in Intelchips misbruikt om malware te verbergen

Beveiligingsonderzoekers ontdekten een manier om Intel SGX in te zetten om malwarecode te verstoppen, zodat het besturingssysteem en antivirusprogramma’s er niet bij kunnen.

Intel-processors blijken opnieuw kwetsbaar voor misbruik door hackers, al is het nieuw ontdekte beveiligingsprobleem minder ernstig dan Spectre of Meltdown. Onderzoekers van de Technologie-universiteit van Graz ontdekten een manier om Intel SGX uit te buiten en malware te verstoppen. Dat weet Arstechnica.

SGX, kort voor Software Guard eXtentions, is een relatief nieuwe functie die Intel sinds Skylake in zijn cpu’s stopt. Met SGX is het mogelijk om zogenaamde enclaves te creëren. In die enclaves wordt code op een erg beveiligde manier uitgevoerd. Alles wat in- en uit de enclave gaat, is versleuteld, en pogingen om van buitenaf te kijken naar wat er zich in de SGX-enclave afspeelt, worden op processorniveau geblokkeerd.

Gevoelige code

SGX is ontworpen om erg gevoelige stukken code te draaien. Denk bijvoorbeeld aan de encryptie van biometrische data, of het draaien van DRM-code die piraterij moet tegengaan. De cpu gaat ervan uit dat de code in de enclave koste wat het kost beschermd moet worden, en dat alle andere software, inclusief het besturingssysteem, een mogelijke bedreiging vormt. Dat heeft als neveneffect dat ook antivirussoftware geen toegang heeft tot de enclave.

De technologie biedt effectief een grote meerwaarde en wint de laatste jaren aan populariteit. Dat zette de onderzoekers ertoe aan om eens te kijken of ze de rollen niet kunnen omdraaien: zou het een optie zijn om malafide code in een enclave te verstoppen, en de bescherming die de Intel-cpu biedt zo tegen het OS te gebruiken.

Kwetsbaar ondanks beperkingen

Het korte antwoord blijkt ‘ja’, al is het niet eenvoudig. Bij cpu’s van de achtste generatie maakt Intel het iets eenvoudiger om code in enclaves te draaien, dus die systemen zijn het kwetsbaarst. Oudere processors draaien alleen code in een enclave als die voorzien is van een geldig certificaat, en dat moet afkomstig zijn van Intel zelf. De onderzoekers ontdekten echter dat het mogelijk is om een betrouwbaar ogende applicatie te laten certificeren, en die te gebruiken als een soort trojaans paard om bijvoorbeeld code voor ransomware-malware in te laden.

SGX heeft nog enkele andere beperkingen. Zo kan code vanuit een enclave niet zomaar data uit de beschermde omgeving aanpassen. Ook daarvoor vonden onderzoekers een oplossing. Het blijkt perfect mogelijk om een return oriented programming (ROP)-aanval uit te voeren, waarbij code van een legitieme applicatie wordt misbruikt om het systeem andere dingen te laten doen.

Extra venijnige ransomware

De onderzoekers zien vooral een toepassing van SGX-aanvallen binnen de ransomware-categorie van malware. Dergelijke aanvallen zouden de encryptie van data vrij eenvoudig in een SGX-enclave kunnen stoppen. Zo is het nog moeilijker om de encryptiesleutel te vinden en de aanval tegen te gaan.

Intel zegt zelf dat SGX helemaal werkt zoals bedoeld. De technologie beschermt de code, maar biedt geen garanties over de intenties van de code zelf. In combinatie met de certificaten is de bescherming voor misbruik van SGX bovendien best goed. Toch is het te hopen dat Intel de informatie ter harte neemt. Naarmate SGX aan belang wint, en het eenvoudiger wordt om enclaves te maken, vergroot immers ook het potentieel op misbruik.

Gerelateerd: De vloek van Spectre: waarom blijft het jou en Intel achtervolgen?