Windows 10: Microsoft testet Anti-Exploit-Technik

Microsoft schafft die Grundlage, um Intels längst angekündigte Sicherheitsfunktion Control-flow Enforcement Technology (CET) zu nutzen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 12 Beiträge

(Bild: c't)

Von

In der Preview-Version von Windows 10 testet Microsoft derzeit Intels Sicherheitsfunktion Control-flow Enforcement Technology (CET), die verbreitete Return-Oriented-Programming-Angriffe (ROP) erschweren soll. Dazu führen Prozessoren den gewünschten Code in zwei sogenannten Stacks aus und vergleichen deren Ergebnisse. Stimmen diese nicht überein, stoppt Windows 10 den betreffenden Prozess.

Auf dem herkömmlichen Stack vermischen sich Daten und Sprungadressen; auf dem neuen Schatten-Stack landen hingegen nur Speicheradressen für Sprünge. Diese werden dort von den Befehlen für Funktionsaufrufe wie call zusätzlich zum normalen Stack platziert. Beim Rücksprung vergleicht das return den Wert vom Stack mit jenem des Schatten-Stacks. Nur wenn die beiden gleich sind, erfolgt der Sprung. Da die Funktion wildes Herumspringen zwischen den Zeilen verhindert, sollen Angreifer ihren Code nicht mehr aus den ausgeführten Programmen zusammenmixen können.

Die Control-flow Enforcement Technology hatte Intel schon Mitte 2016 angekündigt, allerdings bietet der Chiphersteller bis dato immer noch keine Prozessoren an, welche die Technik ohne Emulation unterstützen. In einer Präsentation von Mitte 2019 nannte ein Intel-Entwickler Tiger Lake als erste Generation mit CET. Erste Tiger-Lake-Prozessoren will Intel Ende 2020 für Notebooks als Nachfolger für Ice Lake (Core i-1000G) vorstellen. Für Desktop-PCs soll nächstes Jahr Rocket Lake-S mit Tiger-Lake-Architektur, aber 14- statt 10-Nanometer-Technik erscheinen.

Die CET-Funktion ist derzeit im Fast-Ring der Windows-10-Preview enthalten. Interessenten müssen sich zum Testen als Insider bei Microsoft registrieren. (mma)