Moderne Prozessoren versprechen mit eingebauten Schutzmechanismen mehr Sicherheit gegen eine der ältesten Angriffsformen der Softwarewelt – doch Forschende des CISPA Helmholtz-Zentrums für Informationssicherheit haben eine Lücke identifiziert, die genau diesen Schutz unterläuft. Ihr Gegenmittel trägt den Namen PLaTypus und soll dort ansetzen, wo Intels Control-Flow Enforcement Technology (CET) und vergleichbare Technologien an ihre Grenzen stoßen.
Seit Juni 2020 setzt Intel auf CET, einen hardwarebasierten Mechanismus, der schrittweise ab der zehnten und elften Core-Generation verbaut wird und mittlerweile in aktuelle Windows- und Linux-Betriebssysteme Einzug gehalten hat. Das Ziel: sogenannte Code-Reuse-Angriffe deutlich erschweren. Bei dieser Methode schleusen Angreifende keinen eigenen Schadcode ein, sondern zweckentfremden bereits vorhandene Programmteile, um ein System zu kompromittieren. Die Grundlage dafür bilden in der Regel Memory-Corruption-Schwachstellen wie Buffer Overflows oder Use-after-free-Fehler, die vor allem in C- und C++-Software auftreten.
„Solche Schwachstellen finden sich unter anderem in Webservern, Browsern oder VPN-Systemen. Gelingt ein Angriff, können Angreifende beispielsweise sensible Daten auslesen, Schadsoftware installieren oder die vollständige Kontrolle über Systeme übernehmen“, ordnet CISPA-Forscher Apostolos Chatzianagnostou die Tragweite ein. Seit mehr als zwei Jahrzehnten gehören Code-Reuse-Angriffe zum festen Repertoire von Cyberkriminellen – und trotz aller Fortschritte in der Prozessorarchitektur bleiben sie eine reale Gefahr.
Denn obwohl CET und das bei ARM-Chips eingesetzte Pendant Branch Target Identification verhindern sollen, dass manipulierte Sprung- oder Rücksprungadressen den Kontrollfluss eines Programms auf unvorhergesehene Codebereiche umlenken, bleibt ein entscheidender Angriffsweg offen. „Schutzmechanismen wie CET oder BTI werden in den kommenden Jahren voraussichtlich zum Standard moderner Systeme gehören. Wir haben jedoch festgestellt, dass sie weiterhin einen wichtigen Angriffsweg offenlassen: Angreifende können nach wie vor beliebig zwischen Funktionen unterschiedlicher Bibliotheken springen“, erläutert Chatzianagnostou. Genau diese Bewegungsfreiheit zwischen Programmbibliotheken macht es möglich, die hardwaregestützten Barrieren zu umgehen.
Hier setzt PLaTypus an. Die zusätzliche Sicherheitsschicht wurde von Apostolos Chatzianagnostou und Marcos Bajo entwickelt, beide aus dem Team von CISPA-Faculty Prof. Dr. Christian Rossow. Ihr Ansatz beschränkt gezielt die Möglichkeit, willkürlich zwischen verschiedenen Bibliotheken zu wechseln – und schließt damit die Flanke, die CET und vergleichbare Technologien bislang offenlassen. Statt den bestehenden Hardwareschutz zu ersetzen, ergänzt PLaTypus ihn um eine Ebene, die den Handlungsspielraum potenzieller Angreifender weiter einengt.
Die Forschungsergebnisse unterstreichen, dass selbst moderne Sicherheitsarchitekturen kein Allheilmittel sind. Hardwarebasierte Mechanismen erhöhen zwar die Hürde für Angriffe erheblich, doch erst das Zusammenspiel mehrerer Schutzebenen kann die Angriffsfläche wirksam reduzieren. Mit PLaTypus liefert das CISPA einen konkreten Baustein, der diese Erkenntnis in die Praxis überführt.
