近日，英特爾宣布即將推出的移動CPU（代號“Tiger Lake”）將提供人們期待已久的安全層，稱為控制流實施技術（CET），旨在防止常見的惡意軟件攻擊。CET可以防止對處理器控制流的攻擊，后者指的是執行不同功能的順序。以前，攻擊者針對攻擊中的控制流進行攻擊，他們劫持進程并修改指令。這可能使他們能夠在受害者的系統上執行任意代碼。

英特爾客戶安全戰略與計劃副總裁兼總經理湯姆·加里森在周一表示：“英特爾CET提供CPU級別的安全功能，以幫助抵御僅通過軟件即可緩解的常見惡意軟件攻擊方法。這些類型的攻擊方法常見于內存安全性類惡意軟件，包括諸如堆棧緩沖區溢出損壞和釋放后使用等策略。”

英特爾即將發售的Tiger Lake CPU首次配備了Intel CET控制流實施技術，通過添加兩種保護措施來對抗控制流劫持攻擊。

第一個措施是間接分支跟蹤（IBT）：它可以防御面向呼叫的編程或面向跳轉的編程（COP和JOP）攻擊。當以特定的調用和跳轉指令結尾的短代碼序列被定位并鏈接到特定順序以執行攻擊者的有效載荷時，就會發生這些類型的代碼重用攻擊。IBT通過創建一條新指令——ENDBRANCH來防止這種情況，該指令會跟蹤所有間接調用和跳轉指令，檢測任何違反控制流的行為。

第二個措施是影子堆棧（SS）：影子堆棧有助于防御面向返回的編程（ROP）攻擊。這些類型的攻擊集中于控制流中的返回指令，這些指令旨在從堆棧中獲取下一條指令的地址，并從該地址執行指令。在ROP攻擊中，攻擊者濫用這些返回指令將惡意代碼流混入指令。

影子堆棧（有別于數據堆棧）通過添加返回地址保護來防止這種情況。啟用影子堆棧時，處理器上的CALL指令會將確保數據堆棧和影子堆棧上的返回地址匹配。

英特爾客戶端計算小組研究員Baiju Patel說道：“難于檢測或阻止ROP/JOP的原因是攻擊者使用了從可執行內存運行的現有代碼。已經開發和部署的許多基于軟件的檢測和預防技術都收效甚微。”

英特爾于2016年發布了CET的第一個規范。多家軟件制造商在其產品中增加了對該技術的支持，其中包括Microsoft的Windows硬件強制堆棧保護。

據Garrison稱，在英特爾移動產品線推出CET后，該技術很快將在臺式機和服務器平臺上推廣。英特爾目前正準備量產Tiger Lake芯片組，并預計在年中將這些處理器交付給OEM廠商。

責任編輯：gt