На главной хакерской конференции года Black Hat группа исследователей, уже успевших поработать в HP Zero Day Initiative, министерстве национальной безопасности и министерстве обороны, собирается продемонстрировать защитный механизм, способный защитить от эксплойтов на аппаратном уровне.

Трое коллег из EndGame Коди Пирс (Cody Pierce), Мэтт Спайзек (Matt Spisak) и Кеннет Фитч (Kenneth Fitch) расширили возможности аппаратного защитного механизма, который уже используется несколькими продуктами Microsoft, и сделали его доступным для других программ.

Метод, получивший название Hardware-Assisted Control Flow Integrity, использует возможности процессорной архитектуры. Созданный исследователями кросс-платформенный фреймворк на базе архитектуры Intel позволяет детектировать эксплойт и попытки обойти механизмы безопасности, заметив патологии в исполнении команд. Обычно хакеры используют несовершенства уже устаревшего метода возвратно-ориентированного программирования, поэтому эксплойты могут эффективно обходить защиту.

По словам исследователей, «отрасль всеми силами пыталась  усложнить процесс эксплуатации уязвимостей, но значительных результатов так и не добилась». Как только хакеры захватывают контроль над исполнением команд, обход механизмов защиты — вопрос времени, что подтверждают известные случаи обхода EMET. «Наш подход блокирует эксплойты до того, как они исполняются, что пресекает попытки обхода механизмов защиты», — сообщают исследователи.

Метод втрое повышает требования к производительности системы, но его авторы утверждают, что оказываемый эффект вполне оправдывает подобный компромисс. Эффективность использования счетчиков PMU от Intel для распознавания атак, использующих изъяны возвратно-ориентированного программирования, уже была доказана в ходе предварительных тестов. Как считает группа исследователей, подход позволяет распознавать атаки в режиме реального времени и защищать COTS-бинарники от попыток перехвата управления потоком команд, что обычно происходит при эксплуатации уязвимостей высвобождения памяти, и других брешей, связанных с повреждением памяти.

Категории: Главное, Хакеры