Les enclaves protégées des processeurs Intel utilisables par des malwares

Les enclaves protégées des processeurs Intel utilisables par des malwares


Les enclaves protégées des processeurs Intel utilisables par des malwares


Une équipe de chercheurs, réunissant notamment certains ayant participé à la découverte des failles Meltdown et Spectre, a mis sur la main sur un sérieux problème de sécurité avec la fonctionnalité SGX (Software Guard eXtensions) des processeurs Intel.

Présente depuis la génération Skylake, elle permet à un code de résider dans une mémoire isolée du système et – normalement – de toute tentative d’accès, à moins d’être expressément autorisée. Ces espaces protégés, appelés enclaves, ne peuvent même pas être lus par le noyau du système ou le BIOS/UEFI.

Problème, les chercheurs ont réussi à implanter un malware dans une enclave. Ils se sont servis des TSX (Transactional Synchronization eXtensions) pour vérifier si une adresse virtuelle était accessible par le processus en cours. Une opération que le système d’exploitation ne peut pas détecter du fait de l’architecture de SGX.

Les chercheurs tentent ensuite de savoir s’il est possible d’écrire dans cette plage mémoire, via une technique baptisée CLAW (Checking Located Addresses for Writability). L’instruction d’écriture est alors encapsulée dans une transaction TSX, donc toujours indétectable.

On comprend la dangerosité de la méthode, comme chaque fois qu’un malware peut tirer parti du matériel : il se cachera dans une zone protégée que rien ne peut atteindre, et certainement pas un antivirus. Les chercheurs craignent particulièrement une nouvelle génération de ransomwares presque impossibles à déloger.

Selon les chercheurs, les modifications à réaliser peuvent être matérielles comme logicielles. Dans le premier cas, Intel pourrait renforcer l’isolation des enclaves, sans impact sur les performances. Les changements logiciels, eux, arriveraient plus rapidement, mais entraineraient une légère chute des performances.

Intel a reconnu l’existence du problème, sans remettre en question sa fonction SGX. Le fondeur rappelle que son objectif est de protéger ce qui y est placé, non de contrôler qui a le droit d’y entrer : « SGX ne garantit pas que le code exécuté dans l’enclave provient d’une source de confiance ».

La société ne dit pas un mot sur d’éventuelles mesures. En attendant, les chercheurs ont publié un prototype d’exploitation et le rapport complet de leurs travaux.



























Copié dans le presse-papier !




via Next INpact – Actualités
article link : https://www.nextinpact.com/brief/les-enclaves-protegees-des-processeurs-intel-utilisables-par-des-malwares-7788.htm

La rédaction

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *