IlSoftware.it - Il sito italiano sul software

Le estensioni Intel SGX sfruttabili per eseguire codice arbitrario senza che gli antimalware se ne accorgano


Alcuni ricercatori spiegano che è possibile sfruttare lo spazio sicuro (enclave) lanciato da Intel con le CPU Skylake per eseguire codice potenzialmente dannoso superando i controlli di antimalware e strumenti software per la sicurezza.


Un gruppo di accademici dell'Università tecnica di Graz (Austria), composto da Michael Schwarz, Samuel Weiser e Daniel Gruss (uno dei ricercatori che hanno messo a nudo la falla Spectre presente nei microprocessori, esattamente un anno fa), ha individuato un modo per eseguire codice malevolo sui sistemi equipaggiati con una CPU Intel sfuggendo al controllo degli antimalware installati e delle altre soluzioni per la sicurezza.

A spiegarlo sono gli stessi ricercatori che parlano di un problema correlato con le enclavi SGX (Software Guard Extensions) introdotte con il rilascio dei processori Skylake e utilizzate da diversi programmi per proteggere (in forma crittografata) i dati degli utenti.


Il trio di universitari ha trovato il modo per inserire in SGX codice arbitrario sottraendolo così al controllo di qualunque processo in esecuzione sul sistema in uso. Perché se nulla in esecuzione all'infuori dell'enclave può spiare cosa è contenuto al suo interno, il codice presente in SGX può comunque accedere all'esterno.

Così, Schwarz, Weiser e Gruss hanno messo a punto un exploit basato sulla nota tecnica ROP (Return-oriented programming) per trovare nella memoria le informazioni cercate ed eseguire quindi codice arbitrario.

Secondo Intel, che per il momento ha rilasciato una breve nota, SGX funziona come prefisso perché di fatto protegge i dati contenute nell'enclave dal resto del sistema. Nel ringraziare gli universitari di Graz per il prezioso lavoro svolto e confermando l'obiettivo dell'azienda, ovvero quello di proteggere i clienti e i loro dati, Intel ha ricordato che è comunque indispensabile eseguire codice proveniente da fonti fidate. Se sul sistema venissero caricati processi potenzialmente pericolosi è ovvio che verrebbe meno la sicurezza dell'intera infrastruttura.


di Michele Nasi
IlSoftware.it - Il sito italiano sul software