Un grupo de investigadores académicos de Georgia Tech, la Universidad de Purdue y Synkhronix han desarrollado un ataque de canal lateral llamado Tee.fail que permite extraer secretos del entorno de ejecución confiable (TEE) del procesador principal de un ordenador, incluidas las extensiones Software Guard (SGX) y Trust Domain Extensions (TDX) de Intel y la virtualización cifrada segura con paginación anidada segura (SEV-SNP) de AMD y Ocultación de texto cifrado .
El ataque, en esencia, implica el uso de un dispositivo de interposición construido con equipos electrónicos disponibles en el mercado que cuesta menos de 1000 dólares y permite inspeccionar físicamente todo el tráfico de memoria dentro de un servidor DDR5.
«Esto nos permite extraer por primera vez claves criptográficas de Intel TDX y AMD SEV-SNP con ocultación de texto cifrado, incluidas, en algunos casos, claves de certificación secretas de máquinas completamente actualizadas y en estado confiable», señalaron los investigadores en un sitio informativo.
«Además de descifrar los TEE basados en CPU, también mostramos cómo las claves de atestación extraídas pueden utilizarse para comprometer la computación confidencial de la GPU de Nvidia, lo que permite a los atacantes ejecutar cargas de trabajo de IA sin ningún tipo de protección TEE».
Los hallazgos se producen semanas después de la publicación de otros dos ataques contra los TEE, como RAM de bateo y WireTap . A diferencia de estas técnicas dirigidas a sistemas que utilizan memoria DDR4, Tee.fail es el primer ataque que se ha demostrado contra la memoria DDR5, lo que significa que puede utilizarse para socavar las últimas protecciones de seguridad de hardware de Intel y AMD.
El último estudio ha descubierto que el modo de cifrado AES-XTS utilizado por Intel y AMD es determinista y, por lo tanto, no es suficiente para evitar los ataques de interposición de memoria física. En un hipotético escenario de ataque, un intruso podría utilizar un equipo personalizado para registrar el tráfico de memoria que circula entre el ordenador y la DRAM y observar el contenido de la memoria durante las operaciones de lectura y escritura, lo que daría lugar a un ataque de canal lateral.
En última instancia, esto podría aprovecharse para extraer datos de máquinas virtuales confidenciales (CVM), incluidas las claves de certificación ECDSA del Enclave de certificación de aprovisionamiento (PCE) de Intel, necesarias para romper la certificación SGX y TDX.
«Como la certificación es el mecanismo utilizado para demostrar que los datos y el código se ejecutan realmente en una CVM, esto significa que podemos fingir que los datos y el código se ejecutan dentro de una CVM cuando en realidad no es así», afirman los investigadores. «Podemos leer tus datos e incluso proporcionarte un resultado incorrecto y, al mismo tiempo, fingir que el proceso de certificación se ha completado correctamente».
El estudio también señaló que el SEV-SNP con ocultación de texto cifrado no resuelve los problemas del cifrado determinista ni evita la interposición del bus físico. Como resultado, el ataque facilita la extracción de claves de firma privadas de la implementación ECDSA de OpenSSL.
«Es importante destacar que el código criptográfico de OpenSSL es totalmente constante y que nuestra máquina tenía habilitada la ocultación de texto cifrado, lo que demuestra que estas funciones no son suficientes para mitigar los ataques de interposición de buses», agregaron.
Si bien no hay pruebas de que el ataque se haya utilizado de forma espontánea, los investigadores recomiendan utilizar contramedidas de software para mitigar los riesgos que surgen como resultado del cifrado determinista. Sin embargo, es probable que sean caras.
En respuesta a la divulgación, AMD dijo no tiene planes de proporcionar mitigaciones, ya que los ataques vectoriales físicos están fuera del alcance del AMD SEV-SNP. Intel, en una alerta similar, apuntado ese Tee.fail no cambia la anterior declaración de la empresa sobre la falta de alcance para este tipo de ataques físicos.