Intel and Microsoft bringing " HARDWARE ENFORCED STACK PROTECTION " to Windows 10 Version 2004 and higher
and Tigerlake family CPU were the first hardware based Intel Control Flow Enforcement Technology support.




ในช่วงหลายปีที่ผ่านมา Hacker และกลุ่มก่อการร้ายทางเครือข่ายอินเทอร์เน็ตจำนวนมากได้อาศัยช่องโหว่จากสถาปัตยกรรม CPU ยุคใหม่ทุกแพลตฟอร์มที่สนับสนุน Out of order execution
การทำงานหลักๆ ของ Malware รุ่นใหม่ๆ แอบแฝงมากับชุดคำสั่งที่นิยมใช้กันมากในสถาปัตยกรรมยุคปัจจุบัน คือ JUMP และ RETIRE ดังภาพประกอบ Hacker จะแอบแทรก Code อันตรายไว้
กับข้อมูลที่ CPU จะใช้ในการประมวลผล เมื่อมีการประมวลผลผ่านการเดาคำสั่งล่วงหน้า ( Speculative execution ) Code อันตรายและข้อมูลขยะต่างๆ จะถูกแทรกไว้ในข้อมูลที่ CPU จะใช้ใน
การประมวลผล และเมื่อมีการประมวลผลแบบข้ามขั้นตอน (Out of order execution) ครั้งใด คำสั่ง JUMP และ RETIRE สำหรับการประมวลผลข้อมูลปกติ ก็จะพาเอา Code อันตรายและข้อมูล
ขยะที่เหล่า Hacker ส่งมาตามไปด้วย ทำให้ CPU และระบบปฏิบัติการต่างทำงานช้าลง และยังถูกจารกรรมข้อมูลได้ง่าย



Intel Control Flow Enforcement Technology ( CET ) เริ่มใช้ใน CPU Tigerlake เป็นต้นไป

การป้องกันปัญหาข้างต้นด้วยซอฟต์แวร์และ Firmware ตลอดจนการอัพเดต Microcode ต่างๆ แม้จะสามารถป้องกันภัยคุกคามดังกล่าวได้ในระดับหนึ่ง แต่เมื่อเวลาผ่านไปเหล่า Hacker สามารถที่จะ
พัฒนา Malware ที่หลบเลี่ยงการตรวจจับของซอฟต์แวร์ระบบปฏิบัติการ Firmware และ Microcode ต่างๆ ได้ ปัญหาก็จะตามมาอีก Intel จึงได้พัฒนา Hardware Indirect Branch Tracking
และ Shadow Stack Technology ขึ้นเพื่อเพิ่มประสิทธิภาพการตรวจคัดกรอง Code อันตรายและไฟล์ขยะนี้ขึ้น และมีหลักการทำงานดังภาพข้างต้น สำหรับ CPU รุ่นแรกที่จะสนับสนุนคุณสมบัตินี้คือ
Tiger lake U/Y

Microsoft ก็ได้ร่วมกับ Intel ในการพัฒนาระบบปฏิบัติการรุ่นใหม่ที่สนับสนุน Intel CET ใน Windows 10 เรียกว่า Hardware-enforced Stack Protection
และในขณะนี้ Microsoft Windows 10 Insider Preview Build 19645.1 ล่าสุดก็ได้สนับสนุนคุณสมบัตินี้เรียบร้อยแล้ว มันสามารถทำงานกับ Intel 11th Generation Core Processor ที่สนับสนุน
ตุณสมบัติ Intel CET ได้เป็นอย่างดี



Microsoft Windows 10 Insider Preview Build 19645.1

หลักการทำงานของระบบ Hardware enforced stack technology ใน Kernel ใหม่ของ Microsoft ก็สอดคล้องกับการทำงานของ CET ของ Intel



การทำงานของ Malware จะทำให้เกิดปัญหา Stack overflow ขึ้นในการรันแอพพลิเคชั่นใดๆ ภายใต้ระบบปฏิบัติการ Windows 10 ในระหว่างที่เกิด
Stack overflow และบรรดา service ต่างๆของ OS Kernel พยายามจะแก้ไขปัญหา Malware ก็จะปล่อยไฟล์ขยะหรือ Code อันตรายลงไปในระบบ
ทำให้เกิดปัญหาเครื่องคอมพิวเตอร์หยุดการทำงานชั่วขณะ หรือ ระบบปฏิบัติการไม่ตอบสนองการทำงาน



แนวทางการแก้ไขปัญหาของ Microsoft จะใช้หลักการ Software based mitigation สำหรับ CPU ทั่วไปที่ไม่สนับสนุนเทคโนโลยี Intel CET
ซึ่งอาจจะมีผลกระทบต่อประสิทธิภาพในการทำงานของ CPU ทุกสถาปัตยกรรมไม่ว่าจะเป็น X86 หรือ ARM64 ในระดับหนึ่ง สำหรับ CPU ที่สนับสนุน
Intel CET เนื่องจากมีการทำงานในระดับ Hardware จึงมีผลกระทบต่อประสิทธิภาพน้อยกว่า CPU อื่นๆ ในระดับหนึ่ง



ตัวอย่างการทำงานของ Malware ในปัจจุบัน



การแก้ไขปัญหาด้วยเทคนิค Hardware enforcement stack technology ใน Kernel ใหม่ของ
Microsoft Windows 10 Version 2004 Build 19645.1 เป็นต้นไป

สำหรับผู้ใช้งานทั่วๆ ไป คาดว่าอีกไม่นานจะมี Update ให้กับระบบปฏิบัติการ Windows 10 May 2020 Update
หลังการเปิดตัว Intel 11th Generation Tigerlake U/Y ในเดือนหน้าครับ

อ้างอิงจาก ::
1. https://newsroom.intel.com/editorial...ats/#gs.8oel14
2. https://techcommunity.microsoft.com/...n/ba-p/1247815