Microsoft、新しい「ハードウェア強制スタック保護」機能を発表

Microsoft は本日、Windows オペレーティング システムの新しいセキュリティ機能を発表しました。

という名前の「ハードウェアによるスタック保護」、この機能により、アプリケーションはローカル CPU ハードウェアを使用して、CPU のメモリ内で実行中にコードを保護できます。

機能の名前が示すように、その主な役割は、 (メモリ) スタック -- 実行中にアプリのコードが保存される場所。

"ハードウェアによるスタック保護」は、(1) 最新の CPU ハードウェアと (2) シャドウ スタックの組み合わせを使用して、メモリ スタックの厳密な管理を強制することによって機能します。

用語 シャドウスタック は新しいもので、プログラムの意図された実行フロー (コードの実行順序とも呼ばれます) のコピーを指します。

新しい "ハードウェアによるスタック保護」機能は、最新の CPU のハードウェア ベースのセキュリティ機能を使用して、ハードウェアで保護された環境にアプリのシャドウ スタック (意図されたコード実行フロー) のコピーを保持することを計画しています。

Microsoftは、これにより、マルウェアがスタックバッファなどの一般的なメモリバグを悪用してアプリのコードをハイジャックするのを防ぐことができると述べています オーバーフロー、ダングリング ポインタ、または初期化されていない変数 -- すべて、攻撃者がアプリの通常のコード実行をハイジャックできることが知られています。 流れ。 シャドウ スタックに一致しない変更は無視され、悪用の試みは事実上シャットダウンされます。

Windows 10 Insider 高速リングで利用可能

現在、新しい「ハードウェアによるスタック保護Microsoft Windows カーネル グループのマネージャーであるハリ プラパカ氏によると、この機能は初期段階にあり、現在も活発に開発中です。

Microsoft は本日、「ハードウェアによるスタック保護Windows 10 Insider Preview ビルドの「」機能 (高速リング)。

開発者は、Windows 10 Insider Preview ビルドの現在のバージョンを使用して、新しい保護を備えたアプリをテストし、それがどのように機能するか、問題が発生するかどうかを確認できます。

「アプリケーションでハードウェアによるスタック保護を受けるには、 新しいリンカーフラグ これにより、PE ヘッダーにビットが設定され、実行可能ファイルのカーネルからの保護が要求されます。」 Pulapaka 氏がブログ投稿で説明.

「アプリケーションがこのビットを設定し、サポートされている Windows ビルドおよびシャドウ スタック準拠で実行されている場合 ハードウェアの場合、カーネルはプログラムの実行中ずっとシャドウ スタックを維持します」と Microsoft マネージャー 言った。

現在、「ハードウェアによるスタック保護" 機能は、サポートするチップセットでのみ動作します。 Intel の Control-flow Enforcement Technology (CET) 命令はシャドウ スタック メカニズムをサポートします。

コンピュータが古いハードウェアで実行されており、シャドウ スタックをサポートしていない場合、Windows は、「ハードウェアによるスタック保護」機能が追加され、プログラムは現在と同様に実行されます。

Microsoft のハードウェアによる未来

この新機能は、基盤となるハードウェアと緊密に統合された Microsoft の最新のセキュリティ機能です。

昨年、マイクロソフトは、と呼ばれる新しいプロジェクトを発表しました。 セキュアコア PC、これは、Windows OS が緊密に統合されて実行される PC およびラップトップの新しいタイプのブランディングです。 基盤となる CPU ハードウェアと組み合わせて、エンタープライズ ユーザーの保護を強化します [ビデオを参照] 下に]。

しかしPulapaka氏によると、これはほんの始まりにすぎず、レドモンド社はセキュリティを強化するためにWindows OSと基盤となるハードウェアを融合する同様の機能をさらに追加する予定だという。

「私たちは現在、攻撃に対するハードルをさらに高めるために、ハードウェアを深く統合したセキュリティ機能を検討しています」とプラパカ氏は述べた。 「Windows とそのカーネルをハードウェアと深く統合することで、攻撃者が大規模な攻撃を仕掛けることを困難にし、コストがかかるようにしています。」