近日，英特爾宣布即將推出的移動CPU（代號“Tiger Lake”）將提供人們期待已久的安全層，稱為控制流實(shí)施技術(shù)（CET），旨在防止常見的惡意軟件攻擊。CET可以防止對處理器控制流的攻擊，后者指的是執(zhí)行不同功能的順序。以前，攻擊者針對攻擊中的控制流進(jìn)行攻擊，他們劫持進(jìn)程并修改指令。這可能使他們能夠在受害者的系統(tǒng)上執(zhí)行任意代碼。

英特爾客戶安全戰(zhàn)略與計劃副總裁兼總經(jīng)理湯姆·加里森在周一表示：“英特爾CET提供CPU級別的安全功能，以幫助抵御僅通過軟件即可緩解的常見惡意軟件攻擊方法。這些類型的攻擊方法常見于內(nèi)存安全性類惡意軟件，包括諸如堆棧緩沖區(qū)溢出損壞和釋放后使用等策略。”

英特爾即將發(fā)售的Tiger Lake CPU首次配備了Intel CET控制流實(shí)施技術(shù)，通過添加兩種保護(hù)措施來對抗控制流劫持攻擊。

第一個措施是間接分支跟蹤（IBT）：它可以防御面向呼叫的編程或面向跳轉(zhuǎn)的編程（COP和JOP）攻擊。當(dāng)以特定的調(diào)用和跳轉(zhuǎn)指令結(jié)尾的短代碼序列被定位并鏈接到特定順序以執(zhí)行攻擊者的有效載荷時，就會發(fā)生這些類型的代碼重用攻擊。IBT通過創(chuàng)建一條新指令——ENDBRANCH來防止這種情況，該指令會跟蹤所有間接調(diào)用和跳轉(zhuǎn)指令，檢測任何違反控制流的行為。

第二個措施是影子堆棧（SS）：影子堆棧有助于防御面向返回的編程（ROP）攻擊。這些類型的攻擊集中于控制流中的返回指令，這些指令旨在從堆棧中獲取下一條指令的地址，并從該地址執(zhí)行指令。在ROP攻擊中，攻擊者濫用這些返回指令將惡意代碼流混入指令。

影子堆棧（有別于數(shù)據(jù)堆棧）通過添加返回地址保護(hù)來防止這種情況。啟用影子堆棧時，處理器上的CALL指令會將確保數(shù)據(jù)堆棧和影子堆棧上的返回地址匹配。

英特爾客戶端計算小組研究員Baiju Patel說道：“難于檢測或阻止ROP/JOP的原因是攻擊者使用了從可執(zhí)行內(nèi)存運(yùn)行的現(xiàn)有代碼。已經(jīng)開發(fā)和部署的許多基于軟件的檢測和預(yù)防技術(shù)都收效甚微。”

英特爾于2016年發(fā)布了CET的第一個規(guī)范。多家軟件制造商在其產(chǎn)品中增加了對該技術(shù)的支持，其中包括Microsoft的Windows硬件強(qiáng)制堆棧保護(hù)。

據(jù)Garrison稱，在英特爾移動產(chǎn)品線推出CET后，該技術(shù)很快將在臺式機(jī)和服務(wù)器平臺上推廣。英特爾目前正準(zhǔn)備量產(chǎn)Tiger Lake芯片組，并預(yù)計在年中將這些處理器交付給OEM廠商。

責(zé)任編輯：gt