آسیب پذیری جدید پردازنده اینتل حمله دور از چشم نرم افزارهای امنیتی را ممکن می کند

گروهی از محققان امنیتی روشی برای اجرای کدهای مخرب روی سیستم های با پردازنده اینتل را کشف کرده اند که امکان شناسایی آن توسط نرم افزارهای ضد ویروس وجود ندارد.

هنگامی که اینتل در سال 2015 پردازنده های سری اسکای لِیک را عرضه کرد خبر از قابلیت جدیدی به نام «Software Guard eXtensions» یا «SGX» داد. با استفاده از این قابلیت توسعه دهندگان می توانند اپلیکیشن ها را در یک فضای امن محصور شده اجرا کنند. این قسمت محصور شده در واقع بخش سخت افزاری ایزوله شده از حافظه پردازنده است. اپلیکیشن ها می توانند با استفاده از این امکان، کلیدهای رمزنگاری، پسوردها و سایر داده های حساس کاربران را در بخش ایزوله ای نگهداری کنند.

«مایکل شوارز»، «ساموئل وِیزر» و «دنیل گراس» که سال 2018 به کشف روش حمله مبتنی بر حفره اسپکتر کمک کردند در مقاله ای در ارتباط با آسیب پذیری جدید توضیح داده اند که چگونه می توان از SGX برای مخفی کردن بدافزارها استفاده کرد، به نحوی که تشخیص آن توسط راهکارهای امنیتی امروزی ممکن نباشد.

اینتل قرار دادن بدافزار در این بخش محصور شده را مشکل کرده است. به این منظور SGX تنها بخش های محصوری را قبول و اجرا می کند که با استفاده از یک کلید خاص، امضا یا به عبارتی تأیید شده باشند. این کلید باید در لیست کلیدهای از پیش تأیید شده مجاز موجود باشد. در حالی که کلیدها به توسعه دهندگان مورد تأیید اعطا می شوند اما محققان موفق شده اند روش هایی را بیابند که بر اساس آنها مهاجم امکان دسترسی به کلیدها برای همراه کردن آنها با بدافزار را پیدا می کند.

البته باز هم بدافزارهایی که به این بخش حفاظت شده دسترسی  پیدا می کنند راه درازی تا آلوده کردن سیستم در پیش دارند؛ چرا که بخش محصور SGX تنها به دستورهای کم تعدادی محدود شده و در عین حال فاقد امکان دسترسی محلی اجرا شده از طریق سیستم عامل است.

با این حال محققان موفق شدند از این محدودیت گذر کنند. به این منظور از روش ROP (سر واژه عبارت return-oriented programming) استفاده کردند تا اپلیکیشن خود را با کدهای مخرب همراه کنند. ROP یک روش سوء استفاده امنیتی از کامپیوترها است که به مهاجم امکان اجرای کد با وجود سیستم های امنیتی از جمله روش های جلوگیری از فایل های اجرایی گواهینامه امضای کد دیجیتال را می دهد. به این ترتیب پژوهشگران توانستند مجموعه ای از دستورات بیشتر از حالت ممکن SGX را اجرا کنند.

با وجود اینکه محققان حمله مبتنی بر آسیب پذیری SGX را تنها به منظور تحقیقات انجام داده اند اما کشف اخیر خبر از پیامدهای امنیت سایبری احتمالی در آینده می دهد؛ عواقبی که به دلیل عدم شناسایی توسط نرم افزارهای امنیتی می تواند خطرات جدی را به همراه داشته باشد. مقاله ویژه مرتبط با این تحقیق را می توانید از اینجا مطالعه کنید.

تماشا کنید: پلان؛ آشنایی با حفره های امنیتی اسپکتر و ملتداون در پردازنده ها