研究人员在英特尔SGX飞地植入“受保护”的恶意软件

换句话说，该技术允许攻击者在安全内存中植入恶意软件代码，该内存使用SGX的保护功能，该功能旨在保护重要数据免受窥探或篡改，即使是在受损系统上。

随着英特尔Skylake处理器的推出，SGX（软件保护扩展）允许开发人员在完全隔离的安全内存区域（称为enclaves）中运行选定的应用程序模块。enclaves旨在保护这些应用程序模块不受以更高权限级别运行的进程的影响，如操作系统、内核、BIOS、SMM、虚拟机监控程序等。
然而，一组研究人员（其中一些人是Spectre Meldown CPU缺陷发现的幕后黑手）设法绕过了这种保护，利用古老的面向返回编程（ROP）技术在安全的飞地中获得了自己的恶意应用程序。

该攻击还使用了现代英特尔CPU中的事务同步扩展（TSX）以及一种称为基于TSX的地址探测（TAP）的新型抗故障读取原语技术。
TAP使用TSX来确定当前进程是否可以访问虚拟地址，而这种对内存的探索是不可检测的，因为操作系统级应用程序在设计上无法查看飞地内部。

周二发表的一篇研究论文[PDF]写道：“我们的SGX-ROP攻击使用新的基于TSX的内存泄露原语和“写任何地方”原语，从一个飞地中构造代码重用攻击，然后由宿主应用程序无意中执行”。

为了确定内存页是否可写，该团队开发了一个容错写原语，检查定位地址的可写性（CLAMP），该原语将目标内存页的写入指令封装在TSX事务中，并在写入后显式中止事务。

之后，可以根据事务的返回值推断目标内存页的可写性。

一旦恶意软件进入安全飞地，SGX从根本上保证合法程序的机密性和完整性，也将禁止研究人员或安全解决方案检测和分析飞地内的恶意软件。

这最终将允许恶意软件应用绕过各种安全技术，如操作系统级地址空间布局随机化（ASLR）、堆栈金丝雀和地址消毒器，并在目标系统上执行任意代码。

“此外，下一代勒索软件存在潜在威胁，它将加密密钥安全地保存在飞地内，如果实施正确，将阻止勒索软件恢复工具，”学者们解释道。

研究人员表示，他们的团队开发的概念验证攻击绕过了ASLR、stack Canaris和address Sanitarizer，以“在主机环境中运行ROP小工具，实现实用的enclave恶意软件”，并指出整个攻击过程耗时20.8秒。

最后，学者们得出结论认为，SGX并没有“保护用户免受伤害”，而是构成了一种安全威胁，助长了所谓的超级恶意软件准备好攻击了"。

针对此类攻击的缓解措施可以在未来几代Intel CPU中实施，从而更好地对SGX飞地进行沙箱处理。虽然其中一些缓解措施需要在不牺牲任何性能的情况下更改硬件级别，但有些缓解措施不需要修改硬件，但会牺牲一些性能。