Przez lata Firma Intel pracuje nad poprawkami dla systemu Linux, które wspierają technologię Control-Flow Enforcement Technology (CET) z obsługą Indirect Branch Tracking i Shadow Stack. Trwało to od lat i przechodziło wiele poprawek, podczas gdy teraz podążają nową drogą i skupiają się tylko na funkcjonalności przestrzeni użytkownika Shadow Stack.
Funkcjonalność stosu cieni koncentruje się na obronie przed atakami programowania zorientowanego na zwrot (ROP). Shadow Stack przechowuje kopię każdego CALL i po powrocie (RET) sprawdza adres powrotu przechowywany w normalnym stosie, aby upewnić się, że pasuje do zawartości Shadow Stack, w przeciwnym razie wygeneruje błąd.
Obsługa Intel Shadow Stack powraca do prac nad Linuksem.
Intel wspiera CET, wracając do systemów Tiger Lake z Indirect Branch Tracking w ramach tego do walki z atakami JOP/COP. Podczas gdy opracowywano poprawki IBT Linux, Intel koncentruje się tylko na obsłudze przestrzeni użytkownika Shadow Stack, aby uzyskać dostęp do głównego jądra Linuksa. Taki jest plan przynajmniej na najbliższy okres, kiedy łatki IBT zajmują teraz tylne siedzenie.
Rick Edgecombe z firmy Intel zauważył w niedzielę nową serię łat:
Jest to niewielki restart serii CET w przestrzeni użytkownika. Przejmę serię od Yu-cheng. Zgodnie z niektórymi wewnętrznymi zaleceniami zresetowałem numer wersji i nazwałem go nową serią. Miejmy nadzieję, że nie powoduje to zamieszania.
Nowy plan polega na tym, że w tym momencie będzie tylko obsługa Shadow Stack w przestrzeni użytkownika. IBT może nadejść później, ale na razie skupię się wyłącznie na najbardziej poszukiwanej i powszechnie dostępnej (teraz funkcja dla procesorów AMD) części CET.
Więc teraz jesteśmy w zestaw 35 łatek proponowanych do stosów cieni dla przestrzeń użytkownika. Koncentruje się to nie tylko na zwiększeniu bezpieczeństwa za pomocą nowoczesnych procesorów x86_64, ale Google szuka również wykorzystania stosów cieni do poprawy śledzenia z lepszą wydajnością i niezawodnością.
W nowej serii łat pojawiło się nowe wywołanie systemowe dotyczące alokacji stosu cienia, zmiany zapewniające, że starsze pliki binarne nie będą się psuć i nie tylko. Podczas gdy najnowsze procesory AMD Ryzen z serii 5000 mogą również obsługiwać stosy cieni, obecne poprawki są ograniczone do procesorów Intel. Plan jest taki, aby umożliwić obsługę procesorów AMD dla stosów cieni w przestrzeni użytkownika, gdy ktoś (osoby) to przetestuje – miejmy nadzieję, że stanie się to przed połączeniem łatek.
Zobaczymy, czy ta nowa seria Shadow Stacks for User-Space zostanie przyjęta szybciej niż poprzednia zablokowana seria poprawek CET.
