Intels Anti-Exploit-Technik CET findet bald Eingang in Chromium-basierte Browser
Intels Control-flow Enforcement Technology (CET) wird ab Mitte April in Edge, später in Chrome, Opera und Co. einfließen. Nutzen können sie vorerst aber wenige.
(Bild: cherezoff / Shutterstock.com)
Intels bereits Mitte 2016 vorgestellte Sicherheitsfunktion "Control-flow Enforcement Technology" (CET), die durch Überwachen des Programmablaufs so genannte Return-Oriented-Programming-Angriffe (ROP) erschweren soll, findet bald Eingang in Chromium-basierte Webbrowser.
Microsofts Edge soll die Technik ab Version 90 ("Canary", Release am 13. April 2021, derzeit in der Preview-Phase) unterstützen. Da die Implementierung in der Chromium-Basis erfolgt, dürften Chrome/Chromium, Opera, Brave, Vivaldi und Co. in naher Zukunft nachziehen. Die Gruppe derer, die CET auch tatsächlich nutzen können, ist vorerst allerdings überschaubar: Windows-10-Nutzer mit entsprechenden Updates und aktueller (CPU-)Hardware von Intel oder AMD, die das Feature unterstützt.
Das Mozilla-Team arbeitet derweil auch an einer Implementierung von CET in Firefox; Ergebnisse etwa in Gestalt einer Zeitplanung für ein entsprechendes Release liegen aber bislang noch nicht vor. Ähnliches gilt offenbar auch für die CET-Umsetzung für Linux, für die Intel schon vor einiger Zeit einen Patch erarbeitet hat. Apple wiederum baut das ARM-Gegenstück zu CET namens Pointer Authentication Code (PAC) bereits seit dem A12 in die hauseigenen Prozessoren ein.
Stack-Manipulationen erkennen und verhindern
ROP-Angriffe basieren darauf, bereits im jeweiligen Programmcode vorhandene Befehle durch Stack-Manipulation in einer eigentlich nicht vorgesehenen Reihenfolge zur Ausführung zu bringen und sich auf diese Weise eigenen Exploit-Code "zusammenzubasteln". Im Zuge der Control-flow Enforcement Technology kommt ein zweiter Stack ("Shadow Stack") als teilweise Kopie des ersten zum Einsatz, der vor solchen Manipulationen geschützt sein soll. Durch das Vergleichen der Stack-Inhalte sollen Angriffsversuche erkannt und verhindert werden.
Lesen Sie auch
Intel verankert Anti-Exploit-Technik in (CPU-)Hardware
Voraussetzungen: Aktuelles Windows, aktuelle CPUs
Microsoft hatte in der ersten Jahreshälfte 2020 mit CET-Tests in Windows 10 begonnen. Die hauseigene CET-Umsetzung "Hardware-enforced Stack Protection" war zunächst Teil der Windows 10 Insider Preview Build 19042.662 (20H2) vom 23. November 2020, bevor das entsprechende kumulative (allerdings zunächst optionale, manuell herunterzuladende) Update KB4586853 auch für reguläre Windows-Ausgaben (Windows 10 und Server 2004/20H2) bereitgestellt wurde.
Später dürfte das Update mit CET im Zuge des Dezember-Patchdays automatisch an alle kompatiblen Systeme verteilt worden sein. Windows-10-Nutzer können im Taskmanager nachschauen: Im Reiter "Details" lässt sich per Rechtsklick ("Spalten auswählen") eine neue Spalte mit dem umständlich übersetzten Namen "Hardwaregestützter Stapelschutz" hinzufügen. Sie zeigt an, für welche Prozesse der Mechanismus aktiv ist.
(Bild: Screenshot)
Das bloße Vorhandensein der Funktion nützt allerdings ohne passende Hardware nichts: Derzeit beherrschen nur Geräte mit den aktuellen "Tiger Lake"-Mobilprozessoren der elften Core-i-Generation sowie Systems-on-Chip (SoCs) mit Zen 3 von AMD die Anti-Exploit-Technik. Für weitere CPUs ist der Schutz in Arbeit.
Update 18.02.21, 18:10: Kleine Korrektur zu den ROP-Angriffen nach Leserhinweis – vielen Dank! (ovw)