Intel dự định tích hợp hệ thống chống malware trực tiếp vào CPU

Buzz

Nội dung bài viết

Công nghệ Control-Flow Enforcement sẽ được ra mắt cùng với kiến trúc Tiger Lake.

Xem thêm

Đọc tóm tắt

- Công nghệ Control-Flow Enforcement (CET) sẽ được tích hợp vào CPU Tiger Lake của Intel để ngăn chặn các cuộc tấn công phần mềm.
- CET sẽ thay đổi cách vi xử lý thực thi lệnh từ các ứng dụng và ngăn chặn kỹ thuật return-oriented programming (ROP) của hacker.
- CET tạo ra ngăn xếp kiểm soát không thể sửa đổi, chứa các địa chỉ trở lại của các khối Lego để ngăn chặn ROP.
- CET cung cấp các giải pháp bảo vệ khác như ngăn chặn lập trình hướng nhảy, gọi và ngăn chặn ROP hiệu quả nhất.
- Mặc dù có thể bị vượt qua, CET được kỳ vọng sẽ mang lại hiệu quả cao hơn và là công cụ quan trọng cho người dùng.

Công nghệ Control-Flow Enforcement sẽ được ra mắt cùng với kiến trúc Tiger Lake.

Hack là một trò chơi liên tục giữa kẻ tấn công và người phòng thủ. Intel đã công bố kế hoạch tích hợp một 'tấm khiên' trực tiếp vào CPU để ngăn chặn các lỗ hổng phần mềm có khả năng thực thi mã độc trên máy tính bị nhiễm.

Công nghệ Control-Flow Enforcement, hay CET, sẽ thực sự thay đổi cách các vi xử lý thực thi lệnh từ các ứng dụng như trình duyệt web, trình quản lý email, hay trình đọc PDF. CET được thiết kế để ngăn chặn kỹ thuật gọi là 'return-oriented programming' mà hacker sử dụng để vượt qua các giải pháp bảo mật.

ROP là phản ứng của các hacker trước các giải pháp bảo vệ như 'Executable Space Protection' và 'ngẫu nhiên hóa bố cục không gian địa chỉ'. Những giải pháp này đã được triển khai trên các hệ điều hành như Windows, macOS và Linux nhưng các cuộc tấn công ROP vẫn có thể gây ra thiệt hại đáng kể.

Cuộc tấn công ROP cho phép hacker tái sử dụng các chức năng của các ứng dụng hoặc hệ điều hành bằng cách sử dụng ngăn xếp. Việc sử dụng chỉ lệnh RET trong ROP giúp tái sắp xếp dòng mã lệnh một cách linh hoạt.

Minh họa CPU Tiger Lake của Intel

Cực kỳ hiệu quả

Alex Ionescu, một chuyên gia bảo mật Windows có kinh nghiệm phong phú, cũng là Phó giám đốc kỹ thuật tại công ty bảo mật CrowdStrike, thường nhấn mạnh rằng nếu so sánh một chương trình thông thường với một tòa nhà được xây dựng từ các khối Lego theo một trình tự nhất định, thì ROP sẽ tái sử dụng các khối Lego đó theo một trình tự khác nhằm biến một tòa nhà thành một con tàu vũ trụ. Kỹ thuật này có khả năng đánh lừa các giải pháp chống malware bằng cách sử dụng mã nằm trong bộ nhớ đã được hệ thống phê chuẩn cho việc thực thi.

CET tạo ra các thay đổi trong CPU bằng cách tạo ra một ngăn xếp mới được gọi là 'ngăn xếp kiểm soát' (control stack). Ngăn xếp này không thể bị sửa đổi bởi kẻ tấn công và không lưu trữ bất kỳ dữ liệu nào. Nó chứa các địa chỉ trở lại của các khối Lego đã nằm trong ngăn xếp. Do đó, ngay cả khi kẻ tấn công đã thay đổi một địa chỉ trở lại trong ngăn xếp dữ liệu, ngăn xếp kiểm soát vẫn giữ nguyên địa chỉ trở lại ban đầu. Vi xử lý có thể phát hiện điều này và ngăn chặn quá trình thực thi tiếp tục.

'Vì không có giải pháp phần mềm nào có hiệu quả trước ROP, CET sẽ rất hiệu quả trong việc phát hiện và ngăn chặn loại hình xâm nhập này' – Ionescu nói. 'Trước đây, hệ điều hành và các giải pháp bảo mật phải đoán hoặc suy luận xem ROP đã xảy ra chưa, hoặc tiến hành phân tích pháp y, hoặc phát hiện các dấu hiệu/hiệu ứng trong giai đoạn 2 của quá trình khai thác lỗ hổng'.

CET không chỉ có khả năng phòng thủ trước ROP, nó còn cung cấp một loạt các giải pháp bảo vệ khác, một số trong số đó có thể ngăn chặn các kỹ thuật khai thác như 'lập trình hướng nhảy' (jump-oriented programming), 'lập trình hướng gọi' (call-oriented programming)… Tuy nhiên, việc ngăn chặn ROP là một trong những điểm đáng chú ý nhất của CET.

Intel đã tích hợp các chức năng bảo mật khác vào CPU của họ, nhưng kết quả không cao. Ví dụ, Intel SGX (viết tắt của Software Guard eXtension), được thiết kế để tạo ra một khu vực bộ nhớ được bảo vệ không thể xâm nhập phục vụ cho các chức năng yêu cầu bảo mật cao như phát sinh khóa mã hóa. Hoặc 'Coverged Security and Management Engine', gọi là 'Management Engine' (ME), một hệ thống con bên trong CPU và chipset của Intel, bao gồm các chức năng nhạy cảm như Trusted Platform Module tích hợp trong firmware dùng cho mã hóa chip, xác thực firmware UEFI BIOS, và Microsoft System Guard và BitLocker.

Tuy nhiên, các lỗ hổng bảo mật liên tục được phát hiện ẩn sâu trong các tính năng của CPU đã khiến chúng trở thành mục tiêu dễ bị tấn công trong nhiều năm qua. Lỗ hổng SGX gần đây nhất chỉ được phát hiện vào tuần trước!

Một số cá nhân cho rằng CET có thể dễ dàng bị vượt qua hoặc thậm chí tạo ra rủi ro cho người dùng trước những cuộc tấn công không thể thực hiện trước CET. Tuy nhiên, Joseph Fitzpatrick, một hacker phần cứng và nhà nghiên cứu tại SecuringHardware.com, lạc quan rằng CET sẽ đạt được hiệu quả cao hơn. Theo ông, một điểm quan trọng khác biệt của CET so với SGX hoặc ME là CET là tính năng được tích hợp sẵn trên CPU từ đầu. ME thêm vào một lớp quản lý bên ngoài hệ điều hành. SGX thêm vào các chế độ hoạt động mà lý thuyết không thể bị chi phối bởi một mã độc hay hệ điều hành được kiểm soát. CET đơn giản là thêm vào các cơ chế để ngăn chặn hoạt động bình thường - giữ nguyên các địa chỉ bị đưa ra khỏi ngăn xếp và tránh nhảy vào/ra khỏi các vị trí không hợp lý trong mã chương trình - được thực hiện thành công. Nếu CET không thành công trong việc làm điều đó, hoạt động bình thường sẽ tiếp tục diễn ra mà không cho phép kẻ tấn công có thêm ưu thế.

Khi CPU tích hợp CET được phát hành, 'tấm khiên' này sẽ hoạt động chỉ khi vi xử lý chạy trên một hệ điều hành hỗ trợ CET. Windows 10 phiên bản 2004, ra mắt tháng trước, đã hỗ trợ tính năng này. Intel chưa công bố lịch ra mắt của CPU Tiger Lake. Mặc dù giải pháp bảo vệ mới có thể mang lại công cụ mới quan trọng cho người dùng, Ionescu và Yarden Shafir, nhà nghiên cứu cộng tác, đã tìm ra cách để vượt qua nó. Có thể chỉ cần một thập kỷ để CET bị vượt qua như các giải pháp trước đó!

Tham khảo: ArsTechnica

Nội dung được phát triển bởi đội ngũ Mytour với mục đích chăm sóc khách hàng và chỉ dành cho khích lệ tinh thần trải nghiệm du lịch, chúng tôi không chịu trách nhiệm và không đưa ra lời khuyên cho mục đích khác.

Nếu bạn thấy bài viết này không phù hợp hoặc sai sót xin vui lòng liên hệ với chúng tôi qua email [email protected]

Các câu hỏi thường gặp

Công nghệ Control-Flow Enforcement (CET) giúp ngăn chặn những loại tấn công nào?

CET giúp ngăn chặn các tấn công kiểu return-oriented programming (ROP), jump-oriented programming (JOP) và call-oriented programming (COP), bảo vệ vi xử lý khỏi việc thực thi mã độc thông qua các lỗ hổng phần mềm.

CET hoạt động như thế nào để bảo vệ vi xử lý khỏi các cuộc tấn công?

CET tạo ra ngăn xếp kiểm soát, không thể sửa đổi bởi kẻ tấn công, giúp bảo vệ các địa chỉ trở lại của các lệnh trong ngăn xếp. Ngay cả khi kẻ tấn công thay đổi địa chỉ, hệ thống sẽ phát hiện và ngừng thực thi.

Có phải CET là giải pháp duy nhất để ngăn chặn ROP không?

Có, CET được thiết kế đặc biệt để ngăn chặn ROP và các kỹ thuật khai thác khác, mang lại hiệu quả cao hơn các giải pháp bảo mật phần mềm trước đây.

CET có thể bị vượt qua trong tương lai không?

Mặc dù CET là một công nghệ mạnh mẽ, một số chuyên gia lo ngại rằng trong tương lai, có thể sẽ có cách để vượt qua nó, giống như các giải pháp bảo mật trước đây đã bị khai thác.

Làm sao để biết khi nào CPU tích hợp CET được phát hành?

Intel chưa công bố chính xác lịch phát hành của CPU Tiger Lake tích hợp CET, nhưng khi ra mắt, hệ điều hành hỗ trợ CET như Windows 10 phiên bản 2004 sẽ kích hoạt tính năng bảo vệ này.