7 de julho de 2020

Intel diz que ‘Tiger Lake’ afogará malware de controle de fluxo

A próxima geração de processadores móveis Intel incluirá proteção contra malware incorporada ao chip, anunciou a empresa na segunda-feira.

A proteção, fornecida pela CET (Control-Flow Enforcement Technology), estará disponível nos processadores móveis “Tiger Lake” da empresa, revelou o vice-presidente do grupo de computação para clientes da Intel, Tom Garrison.

O CET foi projetado para proteger contra o uso indevido de código legítimo por meio de ataques de seqüestro de fluxo de controle, amplamente utilizados em grandes classes de malware, explicou.

Tecnologia de controle de fluxo de controle da Intel

Das 1.097 vulnerabilidades descobertas pela Trend Micro por meio da Zero Day Initiative de 2019 a hoje, 63,2% estavam relacionadas à segurança da memória.

“À medida que mais proteções proativas são incorporadas ao sistema operacional Windows, os atacantes estão mudando seus esforços para explorar as vulnerabilidades de segurança da memória, seqüestrando a integridade do fluxo de controle”, observou David Weston, diretor de segurança corporativa e de sistemas operacionais da Microsoft.

“Como um recurso de inclusão no Windows 10, a Microsoft trabalhou com a Intel para oferecer proteção de pilha imposta por hardware que se baseia na ampla proteção contra exploração incorporada no Windows 10”, explicou ele, “para impor a integridade do código e encerrar qualquer malware. código.”

Ataques em nível de chip

Com as proteções de fluxo de controle incorporadas ao hardware da Intel, será possível detectar ataques de memória no início do processo, observou Ray Vinson, gerente sênior de produtos da Spirent , uma empresa de testes de telecomunicações em Sunnyvale, Califórnia.

“O invasor está fazendo chamadas no nível de chip para iniciar o ataque à memória. O software vê essas chamadas, mas somente depois que elas são feitas”, disse ele ao TechNewsWorld.

“Ao abordar o ataque no nível do chip, você está impedindo que as chamadas ocorram e impedindo que quaisquer recursos sejam atendidos pelo ataque”, explicou Vinson.

“Os ataques de estouro de memória e estouro de software são ameaças há anos. Ao abordar isso no nível do chip, começa a considerar isso uma opção para o hacker”, acrescentou.

Entre os principais ataques de malware atualmente montados por hackers estão os ataques “sem arquivo”, onde o código malicioso é carregado diretamente na memória, observou James McQuiggan, advogado de conscientização de segurança do KnowBe4 , um provedor de treinamento de conscientização de segurança em Clearwater, Flórida.

“Esse estilo é difícil para os aplicativos antimalware detectar, pois eles procuram aplicativos binários e executáveis ​​executados a partir de um disco rígido”, disse ele ao TechNewsWorld.

“A união do hardware na luta contra o software mal-intencionado pode diminuir os ataques bem-sucedidos contra os endpoints na infraestrutura de uma organização”, disse McQuiggan. “Ele adiciona outra camada de proteção entre o humano e o software de proteção do sistema operacional para proteger o endpoint e impedir um ataque de malware”.

A integração da segurança na arquitetura de hardware torna muito mais difícil para um invasor escrever explorações bem-sucedidas, disse Nilesh Dherange, CTO da Gurucul , uma empresa de inteligência de risco em El Segundo, Califórnia.

“É uma boa jogada, potencialmente mitigando famílias inteiras de ameaças de malware”, disse ele à TechNewsWorld.

Nenhuma bala de prata

Pode haver vantagens e desvantagens em incorporar a segurança ao hardware, observou Malek Ben Salem, líder de P&D da Americas Security na Accenture , uma empresa de serviços profissionais com sede em Dublin.

“O software é mais flexível. Você pode implantá-lo em mais arquiteturas e mais rápido”, disse ela à TechNewsWorld.

“No hardware, porém, você obtém menos degradação do desempenho e é mais eficaz nesses tipos de ataques”, continuou Ben Salem.

As organizações devem tomar cuidado para não adotar a tecnologia muito rapidamente, alertou McQuiggan, da KnowBe4.

“Qual o impacto que o hardware terá por interromper falsamente as instruções porque foi considerado um ataque?” ele perguntou. “Embora essa seja uma nova tecnologia, as organizações desejam garantir uma configuração adequada para seus ambientes e não apenas esperam que ela pare todo malware”.

A CET não é uma bala de prata contra todos os ataques, alertou Chris Clements, vice-presidente de arquitetura de soluções da Cerberus Sentinel , uma empresa de consultoria em segurança cibernética e testes de penetração em Scottsdale, Arizona.

“Os invasores rotineiramente encontram maneiras de burlar as proteções de segurança e, dependendo da implementação da Intel, as salvaguardas podem se tornar triviais para contornar”, disse ele ao TechNewsWorld.

“Além disso, muitas violações e ataques de ransomware não provêm de cibercriminosos que exploram software vulnerável, mas de erros de configuração como buckets S3 abertos, senhas fracas de usuário e ataques de engenharia social como phishing”, continuou Clements. “Nesses casos, nenhum desenvolvimento avançado de exploração é necessário para comprometer os sistemas ou dados de suas vítimas”.

Vivendo em um mundo definido por software

A segurança adicional no silício é sempre uma adição bem-vinda, especialmente ao lidar com a reutilização de memória e estouros de buffer, mas precisa ser colocada em perspectiva.

“Há uma longa história de fabricantes de chips superando a segurança incorporada no chip e ganhos promissores de segurança que ainda não existiam. A aquisição da McAfee pela Intel foi um caso”, observou Greg Young, vice-presidente de segurança cibernética da Trend Micro, um fornecedor de soluções de segurança cibernética com sede em Tóquio.

“Portanto, o fluxo de controle assistido por hardware é bom, especialmente para dispositivos embarcados, mas não para mudar o jogo, pois a infraestrutura e os pontos de extremidade nunca se defenderam e a maior parte dos ataques não envolve esse vetor”, disse ele à TechNewsWorld.

“É um mundo definido por software e, com tanto software na pilha, há muitas vulnerabilidades a serem seguidas que não envolvem o chip”, disse Young.

Há outro problema em potencial para a TEC, Dherange apontou.

“A implementação, como descrita, é uma solução opt-in, o que significa que alguns desenvolvedores não gastarão o esforço necessário para se integrar à CET”, disse ele. “Isso deixaria os aplicativos potencialmente vulneráveis”.

No entanto, “dada a prevalência de vulnerabilidades de ‘segurança da memória’ abordadas pela CET, isso pode ser de grande benefício. O desafio será o quão fortemente os desenvolvedores aderem a ela”, afirmou Dherange.

A CET não é a única maneira de combater ataques baseados em memória, disse Joe Saunders, CEO da RunSafe Security , uma empresa de segurança de sistemas embarcados em McLean, Virgínia.

“Quando os desenvolvedores começarem a implantar esse hardware, eles precisarão considerar as compensações na sobrecarga de desempenho ao considerar ativar essas proteções no nível do hardware”, disse ele à TechNewsWorld.

“Existem abordagens alternativas, como a randomização do tempo de carregamento no nível da função, que eliminam ataques baseados na memória sem afetar o desempenho ou compensar a sobrecarga”, disse Saunders.

O CET não eliminará proteções de software e ferramentas de malware e antivírus, explicou Ben Salem, da Accenture.

“Essa é outra camada de defesa que monitora o que está acontecendo em tempo real”, disse ela, “em comparação com as ferramentas de software que analisam os uplines de arquivos de malware ou em um ambiente sandbox”. 

Show Buttons
Hide Buttons