Un comunidad de investigadores académicos de Georgia Tech, la Universidad Purdue y Synkhronix han desarrollado un ataque de canal limítrofe llamado TEE.Falta que permite la extirpación de secretos del entorno de ejecución confiable (TEE) en el procesador principal de una computadora, incluidas Software Guard eXtensions (SGX) y Trust Domain Extensions (TDX) de Intel y Secure Encrypted Virtualization con Secure Nested Paging (SEV-SNP) y Ciphertext Hiding de AMD.
El ataque, en esencia, implica el uso de un dispositivo de interposición construido con equipos electrónicos disponibles en el mercado que cuesta menos de 1.000 dólares y permite inspeccionar físicamente todo el tráfico de memoria internamente de un servidor DDR5.
“Esto nos permite por primera vez extraer claves criptográficas de Intel TDX y AMD SEV-SNP con Ciphertext Hiding, incluidas en algunos casos claves de certificación secretas de máquinas completamente actualizadas en estado confiable”, señalaron los investigadores en un sitio informativo.
“Más allá de romper los TEE basados en CPU, igualmente mostramos cómo las claves de certificación extraídas se pueden usar para comprometer la Computación Confidencial de GPU de Nvidia, permitiendo a los atacantes ejecutar cargas de trabajo de IA sin ninguna protección de TEE”.
Los hallazgos llegan semanas a posteriori del tiro de otros dos ataques dirigidos a TEE, como Battering RAM y WireTap. A diferencia de estas técnicas que apuntan a sistemas que utilizan memoria DDR4, TEE.Fail es el primer ataque demostrado contra DDR5, lo que significa que pueden estar de moda para socavar las últimas protecciones de seguridad de hardware de Intel y AMD.
El extremo estudio ha descubierto que el modo de enigmático AES-XTS utilizado por Intel y AMD es determinista y, por consiguiente, no suficiente para evitar ataques de interposición de memoria física. En un escena de ataque hipotético, un mal actor podría emplear el equipo personalizado para registrar el tráfico de memoria que fluye entre la computadora y la DRAM, y observar el contenido de la memoria durante las operaciones de leída y escritura, abriendo así la puerta a un ataque de canal limítrofe.
En última instancia, esto podría explotarse para extraer datos de máquinas virtuales confidenciales (CVM), incluidas las claves de certificación ECDSA del Enclave de certificación de aprovisionamiento (PCE) de Intel, necesarias para romper la certificación SGX y TDX.
“Como la atestación es el mecanismo utilizado para demostrar que los datos y el código se ejecutan positivamente en un CVM, esto significa que podemos pretender que sus datos y código se ejecutan internamente de un CVM cuando en ingenuidad no es así”, dijeron los investigadores. “Podemos observar sus datos e incluso proporcionarle resultados incorrectos, mientras seguimos fingiendo un proceso de certificación completado con éxito”.
El estudio igualmente señaló que SEV-SNP con Ciphertext Hiding no soluciona problemas con el enigmático determinista ni evita la interposición física del bus. Como resultado, el ataque facilita la extirpación de claves de firma privadas de la implementación ECDSA de OpenSSL.
“Es importante destacar que el código criptográfico de OpenSSL es completamente de tiempo constante y nuestra máquina tenía habilitada la ocultación de texto enigmático, lo que demuestra que estas características no son suficientes para mitigar los ataques de interposición de bus”, agregaron.
Si adecuadamente no hay evidencia de que el ataque se haya utilizado en la naturaleza, los investigadores recomiendan utilizar contramedidas de software para mitigar los riesgos que surgen como resultado del enigmático determinista. Sin confiscación, es probable que resulten caros.
En respuesta a la divulgación, AMD dijo que no tiene planes de proporcionar mitigaciones ya que los ataques de vectores físicos están fuera del magnitud de AMD SEV-SNP. Intel, en una alerta similar, señaló que TEE.fail no cambia la enunciación preparatorio de la compañía sobre la restricción de este tipo de ataques físicos.
