“从芯开始”，英特尔Tiger Lake CPU增加防恶意软件保护

英特尔的Tiger Lake CPU将配备控制流实施技术（CET），旨在应对常见的控制流劫持攻击。

近日，英特尔宣布即将推出的移动CPU（代号“ Tiger Lake”）将提供人们期待已久的安全层，称为控制流实施技术（CET），旨在防止常见的恶意软件攻击。

CET可以防止对处理器控制流的攻击，后者指的是执行不同功能的顺序。以前，攻击者针对攻击中的控制流进行攻击，他们劫持进程并修改指令。这可能使他们能够在受害者的系统上执行任意代码。

英特尔客户安全战略与计划副总裁兼总经理汤姆·加里森在周一表示：

英特尔CET提供CPU级别的安全功能，以帮助抵御仅通过软件即可缓解的常见恶意软件攻击方法。这些类型的攻击方法常见于内存安全性类恶意软件，包括诸如堆栈缓冲区溢出损坏和释放后使用等策略。

英特尔即将发售的Tiger Lake CPU首次配备了Intel CET控制流实施技术，通过添加两种保护措施来对抗控制流劫持攻击。

第一个措施是间接分支跟踪（IBT）：它可以防御面向呼叫的编程或面向跳转的编程（COP和JOP）攻击。当以特定的调用和跳转指令结尾的短代码序列被定位并链接到特定顺序以执行攻击者的有效载荷时，就会发生这些类型的代码重用攻击。IBT通过创建一条新指令——ENDBRANCH来防止这种情况，该指令会跟踪所有间接调用和跳转指令，检测任何违反控制流的行为。

第二个措施是影子堆栈（SS）：影子堆栈有助于防御面向返回的编程（ROP）攻击。这些类型的攻击集中于控制流中的返回指令，这些指令旨在从堆栈中获取下一条指令的地址，并从该地址执行指令。在ROP攻击中，攻击者滥用这些返回指令将恶意代码流混入指令。

影子堆栈（有别于数据堆栈）通过添加返回地址保护来防止这种情况。启用影子堆栈时，处理器上的CALL指令会将确保数据堆栈和影子堆栈上的返回地址匹配。

英特尔客户端计算小组研究员Baiju Patel说道。“难于检测或阻止ROP / JOP的原因是攻击者使用了从可执行内存运行的现有代码。已经开发和部署的许多基于软件的检测和预防技术都收效甚微。”

英特尔于2016年发布了CET 的第一个规范。多家软件制造商在其产品中增加了对该技术的支持，其中包括Microsoft 的Windows硬件强制堆栈保护。

据Garrison称，在英特尔移动产品线推出CET后，该技术很快将在台式机和服务器平台上推广。英特尔目前正准备量产Tiger Lake芯片组，并预计在年中将这些处理器交付给OEM厂商。