SFOP: Cara Serangan Segmentation Fault Melewati Perlindungan Intel CET di Linux

Proses ini kemudian diulang berkali‑kali. Setiap crash menjadi bagian dari rantai eksekusi yang memungkinkan penyerang melakukan langkah‑langkah yang dikontrol secara bertahap menggunakan kode yang sudah ada di program atau library.

Berbeda dengan serangan klasik seperti ROP yang memanipulasi alamat return di stack, SFOP mengandalkan rantai peristiwa crash dan penanganan sinyal untuk memindahkan eksekusi program ke tahap berikutnya.

Mengapa Intel CET Seharusnya Mencegah Serangan Ini

Intel memperkenalkan Control‑Flow Enforcement Technology (CET) sebagai mekanisme keamanan berbasis hardware untuk mengurangi serangan code‑reuse. Teknologi ini mulai tersedia sejak generasi prosesor Intel Core ke‑10 dan ke‑11 dan telah diintegrasikan ke sistem operasi modern seperti Windows dan Linux.

CET bekerja dengan memverifikasi bahwa perpindahan kontrol program—seperti return atau indirect branch—terjadi sesuai jalur yang sah.

Tujuannya adalah mencegah penyerang mengalihkan eksekusi program ke instruksi yang tidak semestinya di dalam kode yang sudah ada.

Namun perlindungan ini terutama fokus pada transisi kontrol yang tidak sah di dalam jalur eksekusi normal program.

SFOP justru memanfaatkan jalur kontrol yang sah dari sistem operasi.

Bagaimana SFOP Melewati CET di Linux

Inti dari teknik SFOP adalah pemanfaatan fakta bahwa pengiriman sinyal oleh sistem operasi merupakan transisi kontrol yang valid.

Secara sederhana, alur serangannya seperti ini:

1. Penyerang membuat program target mengakses memori yang tidak diizinkan.
2. Akses tersebut memicu segmentation fault.
3. Linux mengirimkan sinyal SIGSEGV dan menjalankan signal handler yang terdaftar.
4. Handler tersebut melakukan tindakan yang disiapkan penyerang—misalnya menyiapkan kondisi untuk crash berikutnya.

Karena perpindahan eksekusi ke signal handler merupakan mekanisme resmi dari sistem operasi, langkah ini tidak dianggap sebagai pelanggaran kontrol alur oleh CET.

Dengan mengulangi siklus crash dan penanganan sinyal ini, penyerang dapat menyusun rantai eksekusi yang pada akhirnya memungkinkan eksekusi kode arbitrer menggunakan komponen program yang sudah ada.

Peran Mekanisme SIGSEGV di Linux

Dalam Linux, aplikasi dapat mendaftarkan handler untuk berbagai sinyal sistem, termasuk SIGSEGV, yang biasanya terjadi ketika program mengakses memori ilegal.

Handler ini biasanya digunakan untuk:

• mencatat kesalahan
• melakukan pemulihan
• atau menghentikan program secara terkendali

SFOP mengeksploitasi mekanisme ini dengan cara:

• memicu segmentation fault secara sengaja
• memanfaatkan eksekusi handler setiap kali crash terjadi
• mengubah perilaku eksekusi pada setiap langkah

Akibatnya, proses crash yang seharusnya menandakan kesalahan justru berubah menjadi blok bangunan kontrol alur yang bisa digunakan kembali oleh penyerang.

Mitigasi yang Diusulkan

Para peneliti dan insinyur keamanan telah mengusulkan beberapa pendekatan untuk mengurangi risiko dari serangan seperti SFOP.

Penguatan Kernel Linux

Salah satu pendekatan adalah melakukan perubahan pada mekanisme penanganan sinyal di kernel Linux untuk membatasi bagaimana segmentation fault berulang dapat dimanfaatkan sebagai primitif kontrol alur. Ringkasan publik dari penelitian tersebut menyebut adanya usulan patch tingkat kernel, meskipun detail implementasinya belum banyak dipublikasikan.

Lapisan Hardening PLaTypus

Solusi lain adalah mekanisme penelitian bernama PLaTypus, yang dirancang untuk memperkuat perlindungan CET terhadap teknik code‑reuse modern.

PLaTypus berfokus pada pembatasan transisi kontrol antar library dalam suatu program. Peneliti menemukan bahwa meskipun CET aktif, penyerang masih dapat memindahkan eksekusi antar library yang berbeda untuk menyusun rantai eksploitasi.

Lapisan hardening ini membatasi lompatan tidak langsung sehingga eksekusi biasanya tetap berada di dalam library yang sama kecuali ada izin eksplisit, sehingga jumlah target kode yang bisa dimanfaatkan penyerang menjadi jauh lebih kecil.

Mengapa Temuan Ini Penting

Penelitian SFOP menegaskan satu pelajaran penting dalam keamanan sistem modern: perlindungan hardware saja tidak cukup jika perilaku sistem operasi masih menyediakan jalur yang bisa dieksploitasi.

Bahkan mekanisme keamanan canggih seperti Intel CET dapat dilewati ketika penyerang menemukan cara untuk mengalihkan eksekusi melalui mekanisme sistem yang sah—dalam kasus ini, sistem penanganan sinyal Linux.

Bagi pengembang sistem dan insinyur keamanan, temuan ini menunjukkan bahwa pertahanan yang efektif harus mempertimbangkan seluruh lapisan teknologi: mulai dari CPU, sistem operasi, hingga desain aplikasi.