Des chercheurs exploitent Intel SGX pour dissimuler des logiciels malveillants

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Ce qu'ils disent
Follow us
Subscribe Newsletter

Integer posuere erat a ante venenatis dapibus posuere velit aliquet sites ulla vitae elit libero 

Enclaves malveillantes Intel a rendu difficile la création et le chargement d’un enclave malveillant en imposant à SGX d’accepter et de lancer uniquement les enclaves signées avec une clé de signature figurant dans une liste blanche interne de clés approuvées. Bien que ces clés ne soient généralement attribuées qu’à des développeurs approuvés, les chercheurs ont découvert quatre méthodes permettant à un attaquant d’accéder à une clé de signature pour signer une enclave illicite. Une enclave malveillante aurait toujours des difficultés à infecter un système car les enclaves SGX sont limitées à quelques commandes et n’ont pas accès aux opérations effectuées par un système d’exploitation local. Cependant, les chercheurs ont pu contourner cette limitation en utilisant une technique d’exploitation de la programmation orientée vers le retour (ROP) pour s’aligner sur le Intel Transcational Synchronization eXtensions (TSX). Cela donnait à l’enclave l’accès à un ensemble de commandes plus large que la normale pouvant être utilisé pour mener une attaque.

Bien que l’équipe ait exploité SGX pour exécuter du code malveillant à des fins de recherche, la découverte a d’énormes implications en matière de cybersécurité puisque les produits de sécurité actuels ne sont pas équipés pour détecter les logiciels malveillants s’exécutant dans une enclave SGX.
Le document de recherche intitulé «Malware Enclave Pratique avec Intel SGX» a été publié et mérite certainement une lecture pour ceux qui veulent en savoir plus. Source:Arstechica]]>

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.