Ein Forschungsteam unter Beteiligung des CISPA Helmholtz-Zentrums für Informationssicherheit hat eine Angriffsmethode vorgestellt, die einen der wichtigsten Schutzmechanismen moderner Intel-Prozessoren aushebelt. Der Angriff trägt den Namen „Segmentation Fault Oriented Programming“, kurz SFOP, und nutzt eine Kette gezielt herbeigeführter Programmabstürze, um beliebigen Code auf Linux-Systemen auszuführen – trotz aktivierter Sicherheitsvorkehrungen.
Im Kern zielt SFOP auf Intel CET, einen hardwarebasierten Schutzmechanismus gegen sogenannte Code-Reuse-Angriffe. CET steht für Control-flow Enforcement Technology und soll sicherstellen, dass Programme nur in vorgesehenen Bahnen ablaufen. Seit 2020 ist die Technologie in Intel-Prozessoren verbaut und sowohl unter Windows als auch unter Linux standardmäßig aktiv. Genau diese Allgegenwart macht den Fund so brisant: Praktisch jedes Programm, das auf einem betroffenen System läuft, wird durch CET geschützt – und ist damit potenziell angreifbar, wenn dieser Schutz versagt.
Die Methode funktioniert, indem Angreifende ein Zielprogramm dazu bringen, auf einen gesperrten Speicherbereich zuzugreifen. Das löst einen Segmentierungsfehler aus, ein sogenanntes SIGSEGV-Signal. Bei jedem dieser Fehler registrieren die Angreifenden einen neuen Signal-Handler, der das Programm erneut mit einem ungültigen Befehl zum Absturz bringt. Durch diese serielle Verkettung von Abstürzen arbeitet sich der Angriff Schritt für Schritt voran, bis schließlich beliebiger Code ausgeführt werden kann. Ermöglicht wird das Ganze durch zwölf zuvor unbekannte Schwachstellen in der Linux-Signalbehandlung.
Entdeckt wurde SFOP von Marcos Bajo, Apostolos Chatzianagnostou und Christian Rossow am CISPA sowie von Ritvik Goyal am Indian Institute of Technology Kanpur. Erstautor Bajo ordnet die Tragweite des Fundes deutlich ein: „Heutzutage werden Computer durch CFI-Abwehrmechanismen vor Code-Reuse-Angriffen geschützt, die den korrekten Programmablauf gewährleisten sollen. Bei diesem Angriff haben wir versucht, die gleichen Fähigkeiten zu erreichen, die vor der Einführung von CFI-Mechanismen möglich waren.“ Intel CET sei dabei das zentrale Ziel, weil es standardmäßig in beiden großen Betriebssystemen vorhanden sei. „Jedes Programm, das auf Ihrem Computer läuft, wird durch diesen Mechanismus geschützt“, so Bajo.
Besonders bemerkenswert ist die niedrige Einstiegshürde des Angriffs. Laut Bajo erfordert SFOP keine spezifischen Eigenschaften im Zielprogramm. Anders als viele bekannte Angriffstechniken, die auf bestimmte Softwarekonfigurationen oder verwundbare Codepassagen angewiesen sind, funktioniert die Methode grundsätzlich bei allen Programmen, die auf einem Linux-System laufen. Das macht SFOP zu einer universellen Bedrohung für Systeme mit Intel-Prozessoren – unabhängig davon, welche Anwendung konkret im Visier steht.
Die Veröffentlichung der Forschungsergebnisse dürfte die Debatte um die Zuverlässigkeit hardwarebasierter Sicherheitsmechanismen neu befeuern. Denn wenn ein Schutzsystem, das seit Jahren als Industriestandard gilt, durch eine vergleichsweise einfache Angriffskette umgangen werden kann, stellt das grundlegende Annahmen über die Absicherung moderner Computersysteme infrage. Ob und wann Patches für die zwölf identifizierten Schwachstellen bereitstehen, geht aus den bisherigen Informationen nicht hervor.
