Intel e Microsoft uniscono le forze per garantire maggiore protezione dai cyber attacchi. Le due aziende stanno collaborando per migliorare l'architettura dei processori al fine d'impedire i cosiddetti attacchi "code reuse".
Si tratta di un problema datato che ha quasi 20 anni ma che solo di recente ha guadagnato popolarità, diventando la tattica preferita usata da molti hacker esperti per compromettere applicazioni, sistemi operativi e dispositivi. In precedenza il metodo più usato era quello di iniettare codice maligno direttamente nella memoria.
"Oggi i malintenzionati più esperti si affidano ad attacchi code reuse come Return Oriented Programming (ROP) e Jump Oriented Programming (JOP) che permettono exploit senza iniezione di codice. Secondo Microsoft, negli ultimi anni quasi tutti gli exploit scoperti per i loro prodotti hanno applicato tecniche ROP".
Malgrado si tratti di attacchi complessi, il concetto di fondo non è poi troppo complicato. "Il codice di programmazione gira tutto all'interno della memoria. È come un romanzo non formattato dove non c'è punteggiatura o capitalizzazione (maiuscolo/minuscolo), e tutte le parole sono compresse insieme per risparmiare spazio", spiega Intel.
"Gli attaccanti approfittano di ciò per i loro scopi: analizzano il codice disponibile e usano le varie sezioni come un rapitore che taglia le parole da un giornale per creare una richiesta di riscatto. Possono produrre la storia che vogliono, saltando da una parte all'altra dalla pagina".
"Anziché provare ad aggirare i diversi controlli di sicurezza necessari per iniettare le proprie istruzioni maligne nella memoria, ROP/JOP raccolgono i frammenti di codice, chiamati widgets, da programmi legittimi già in memoria. Poi li cuciono insieme saltando da un widget all'altro, dando così vita a una nuovo malware".
Si tratta di una tattica ingegnosa perché è difficile da rilevare, anche a una successiva analisi forense. Aspetto più importante, è in grado di superare controlli di sicurezza come Address Space Layout Randomization (ASLR), Data Execution Prevention (DEP) e No Execute (NX).
La risposta di Intel e Microsoft a tutto questo è una nuova specifica chiamata Control-flow Enforcement Technology (CET) che usa l'hardware fisso della CPU per stabilire controlli che impediscano e interferiscano con gli abusi di codice legittimo.
"È come aggiungere la punteggiatura in un romanzo non strutturato per formare frasi coerenti", spiega Intel. "CET permette al lettore di sapere da dove cominciare, come applicare l'accento e quando un concetto è finito".
Per essere più chiari, ecco un altro esempio: dire "mangiamo, nonna" è diverso da dire "andiamo a mangiare nonna". Una virgola mancante può cambiare l'intera frase. Allo stesso modo, i miglioramenti implementati con CET posso avere un impatto significativo sulla sicurezza informatica.
Se un malintenzionato cerca di saltare da qualche parte nel codice e non dovrebbe, CET lo rileva, lancia un allarme o blocca il tentativo. Tale controllo, che deve essere presente all'interno dell'hardware, può fare una grande differenza nell'arginare gli attacchi code reuse.
Al momento non è stato stabilito quando vedremo Control-flow Enforcement Technology (CET) nei processori di Intel. L'azienda ha infatti pubblicato un'anteprima per ricevere suggerimenti dal resto dell'industria sulle specifiche tecniche.
 | Intel Core i7-6700K |