Intel ha estado trabajando en parches de Linux para admitir su Tecnología de aplicación de flujo de control (CET) con seguimiento de rama indirecta y compatibilidad con Shadow Stack. Ha estado en proceso durante años y ha pasado por muchas revisiones, mientras que ahora están siguiendo una nueva ruta y centrándose solo en la funcionalidad del espacio de usuario de Shadow Stack.
La funcionalidad de shadow stack se centra en la defensa contra ataques de programación orientada al retorno (ROP). Shadow Stack guarda una copia de cada LLAMADA y, al regresar (RET), verificará la dirección de retorno almacenada en la pila normal para verificar que coincida con el contenido de Shadow Stack; de lo contrario, generará una falla.
La compatibilidad con Intel Shadow Stack está de nuevo en funcionamiento para Linux.
Intel ha admitido CET volviendo a los sistemas Tiger Lake con Indirect Branch Tracking como parte de eso para luchar contra los ataques JOP/COP también. Si bien se ha trabajado en los parches de IBT Linux, en el futuro, Intel se está enfocando solo en el soporte del espacio de usuario de Shadow Stack para actualizarse para el kernel principal de Linux. Ese es el plan al menos a corto plazo con los parches IBT ahora en un segundo plano.
Rick Edgecombe de Intel señaló en una nueva serie de parches el domingo:
Este es un ligero reinicio de la serie CET del espacio de usuario. Me haré cargo de la serie de Yu-cheng. Según algunas recomendaciones internas, restablecí el número de versión y lo llamo una nueva serie. Con suerte, no causa confusión.
El nuevo plan es subir solo el soporte de Shadow Stack del espacio de usuario en este momento. IBT puede continuar más adelante, pero por ahora me centraré únicamente en la parte de CET más solicitada y ampliamente disponible (con la función en las CPU AMD ahora).
Así que ahora estamos en el conjunto de 35 parches propuesto para shadow-stacks para espacio de usuario. Esto no solo se enfoca en mejorar la seguridad con los procesadores x86_64 modernos, sino que Google también está considerando usar shadow stacks para mejorar el seguimiento con un mejor rendimiento y confiabilidad.
Con la nueva serie de parches hay una nueva llamada al sistema para la asignación de shadow stack, cambios para garantizar que los archivos binarios más antiguos no se rompan y más. Si bien los últimos procesadores de la serie AMD Ryzen 5000 también pueden admitir shadow stacks, los parches actuales se limitan específicamente a las CPU Intel. El plan es permitir el soporte de CPU AMD para shadow stacks en el espacio del usuario una vez que alguien lo haya probado; con suerte, eso sucederá antes de que se fusionen los parches.
Veremos si esta nueva serie Shadow Stacks for User-Space se recupera más rápido que la serie de parches CET estancada anterior.