Le estensioni Intel SGX sfruttabili per eseguire codice arbitrario senza che gli antimalware se ne accorgano

Un gruppo di accademici dell’Università tecnica di Graz (Austria), composto da Michael Schwarz, Samuel Weiser e Daniel Gruss (uno dei ricercatori che hanno messo a nudo la falla Spectre presente nei microprocessori, esattamente un anno fa), ha individuato un modo per eseguire codice malevolo sui sistemi equipaggiati con una CPU Intel sfuggendo al controllo degli antimalware installati e delle altre soluzioni per la sicurezza.

A spiegarlo sono gli stessi ricercatori che parlano di un problema correlato con le enclavi SGX (Software Guard Extensions) introdotte con il rilascio dei processori Skylake e utilizzate da diversi programmi per proteggere (in forma crittografata) i dati degli utenti.

Il trio di universitari ha trovato il modo per inserire in SGX codice arbitrario sottraendolo così al controllo di qualunque processo in esecuzione sul sistema in uso. Perché se nulla in esecuzione all’infuori dell’enclave può spiare cosa è contenuto al suo interno, il codice presente in SGX può comunque accedere all’esterno.

Così, Schwarz, Weiser e Gruss hanno messo a punto un exploit basato sulla nota tecnica ROP (Return-oriented programming) per trovare nella memoria le informazioni cercate ed eseguire quindi codice arbitrario.

Secondo Intel, che per il momento ha rilasciato una breve nota, SGX funziona come prefisso perché di fatto protegge i dati contenute nell’enclave dal resto del sistema. Nel ringraziare gli universitari di Graz per il prezioso lavoro svolto e confermando l’obiettivo dell’azienda, ovvero quello di proteggere i clienti e i loro dati, Intel ha ricordato che è comunque indispensabile eseguire codice proveniente da fonti fidate. Se sul sistema venissero caricati processi potenzialmente pericolosi è ovvio che verrebbe meno la sicurezza dell’intera infrastruttura.