Aparece el primer malware para Intel SGX

Un grupo de expertos publicó su investigación sobre este ataque

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición del primer malware funcional para Intel Software Guard Extensions (Intel SGX). El grupo de expertos encargado de la investigación considera que las vulnerabilidades presentes en SGX, característica pensada para reforzar la seguridad en Intel, podrían generar incontables daños, pues esta permite a los hackers desplegar variantes muy avanzadas de malware.    

Acorde a su página oficial, Intel SGX es “una extensión de arquitectura desarrollada para mejorar la seguridad de los datos y del código de la aplicación”. Michael Schwarz, Daniel Gruss y Samuel Weiser, especialistas en seguridad en redes, descubrieron una forma de ocultar malware en los enclaves SGX de Intel.  

Los académicos utilizaron una técnica conocida como programación orientada al retorno (ROP) para diseñar su propia aplicación y llevar a cabo diversas actividades maliciosas, como omisión de aleatorización del diseño de espacio de direcciones a nivel del sistema operativo o la ejecución de código arbitrario para extraer información privilegiada.

Los investigadores demostraron que los enclaves pueden escapar de su entorno de ejecución SGX y omitir cualquier interfaz de comunicación prescrita por su host. Anteriormente se pensaba que los enclaves, y cualquier cosa operando en su interior, se limitaban al acceso a partes del sistema operativo que no interactúan con los enclaves; este equipo de expertos ha demostrado que la hipótesis era errónea.

Para realizar el ataque, los expertos recurrieron al uso de la función Transactional Synchronization Extensions (TSX), disponible en los dispositivos más recientes, con lo que consiguieron analizar la memoria del sistema en busca de una dirección virtual a la que pudiera acceder el proceso actual. Acorde a especialistas en seguridad en redes, esta intrusión no es detectable, pues las aplicaciones a nivel del sistema operativo no pueden revisar el enclave.

Los encargados de la investigación consideran que esta información podría ser útil para desarrollar soluciones para las siguientes generaciones de equipos de cómputo. Además, es posible que algunas medidas de seguridad contra estos vectores de ataque no requieran forzosamente modificaciones de software, aunque su implementación podría generar algún impacto en el rendimiento de los equipos.

(Visited 139,1 times)