Nowa technologia bezpieczeństwa Intela już niedługo w najpopularniejszych przeglądarkach.

Czym jest Intel CET?

Przeglądarki oparte na Chromium, takie jak Microsoft Edge i Google Chrome, wkrótce będą obsługiwać funkcję zabezpieczeń Intel CET, aby zapobiegać szerokiemu zakresowi możliwych luk w zabezpieczeniach.

Technologia Intel Control-flow Enforcement Technology (CET) to funkcja zabezpieczeń sprzętowych wprowadzona po raz pierwszy w 2016 roku i dodana w 2020 roku do procesorów Intel 11-tej generacji. Funkcja CET została zaprojektowana w celu ochrony programów przed atakami typu Return Oriented Programming (ROP) i Jump Oriented Programming (JOP), które modyfikują normalny sposób działania aplikacji w taki sposób aby zamiast oryginalnego kodu został wykonany złośliwy kod atakującego. Baiju V Patel z Microsoftu wyjaśnia to tak:

Ataki JOP lub ROP mogą być szczególnie trudne do wykrycia lub zapobieżenia im, ponieważ atakujący wykorzystuje istniejący kod działający z pamięci wykonywalnej w dość zmyślny sposób, tak aby zmienić zachowanie programu.

Panaceum ale nie na wszystko

Luki jakie ma „łatać” Intel CET obejmują przede wszystkim ataki omijające sandbox przeglądarki oraz prowadzące do zdalnego wykonania kodu podczas odwiedzania witryn internetowych. Intel CET to rozwiązanie sprzętowe, które blokuje te próby, wyzwalając wyjątki, gdy naturalny tryb działania programu jest modyfikowany.

System Windows 10 obsługuje technologię Intel CET za pośrednictwem implementacji zwanej sprzętową ochroną stosu. Aby aplikacje systemu Windows obsługiwały tę funkcję, muszą najpierw zostać skompilowane z flagą /CETCOMPAT w programie Visual Studio. Po skompilowaniu z tą flagą program zostanie oznaczony jako zgodny z CET Shadow Stack i objęty ochroną bezpieczeństwa.

W tym tygodniu szef zespołu bezpieczeństwa w Microsoft Edge Johnathan Norman napisał na Twitterze, że Microsoft Edge 90 będzie obsługiwał funkcję Intel CET w procesach non-renderer. Wyjaśnijmy tu, że Microsoft Edge, który jest oparty na Chromium, wykorzystuje wiele procesów do wykonywania różnych zadań. Bazując na tweecie Normana należy uznać, że Intel CET będzie używany przez procesy nierenderujące, takie jak przeglądarka, GPU, narzędzia, rozszerzenia czy procesy wtyczek.

Sprawdź czy będziesz używał

Ta funkcja zabezpieczająca nie będzie specyficzna tylko dla przeglądarki Microsoft Edge, ale zostanie udostępniona we wszystkich przeglądarkach opartych na silniku Chromium, w tym Google Chrome, Brave i Opera. Mozilla również rozważa dodanie obsługi Intel CET w Firefoksie, ale ostatnio brak w tej kwestii nowych wiadomości.

Sprawdź oferty pracy na TeamQuest

Użytkownicy systemu Windows 10 z procesorami Intel 11-tej generacji lub procesorami AMD Zen 3 Ryzen, które również obsługują CET, mogą użyć Menedżera zadań systemu Windows, aby sprawdzić, czy proces wykorzystuje funkcję zabezpieczeń sprzętowych. Aby to zrobić, otwórz Menedżera zadań, przejdź na kartę Szczegóły, kliknij prawym przyciskiem myszy nagłówek kolumny, a następnie wybierz opcję Wybierz kolumny. Po otwarciu okna dialogowego Wybierz kolumny przewiń w dół i zaznacz pole wyboru Sprzętowa ochrona stosu. Po włączeniu ta kolumna pokaże, które procesy obsługują funkcję zabezpieczeń Intel CET.