Un grupo de investigadores académicos de Georgia Tech, la Universidad Purdue y Synkhronix han desarrollado un ataque de canal lateral llamado TEE.Falla que permite la extracción de secretos del entorno de ejecución confiable (TEE) en el procesador principal de una computadora, incluidas Software Guard eXtensions (SGX) y Trust Domain Extensions (TDX) de Intel y Secure Encrypted Virtualization con Secure Nested Paging (SEV-SNP) y Ciphertext Hiding de AMD.
El ataque, en esencia, implica el uso de un dispositivo de interposición construido con equipos electrónicos disponibles en el mercado que cuesta menos de 1.000 dólares y permite inspeccionar físicamente todo el tráfico de memoria dentro de un servidor DDR5.
«Esto nos permite por primera vez extraer claves criptográficas de Intel TDX y AMD SEV-SNP con Ciphertext Hiding, incluidas en algunos casos claves de certificación secretas de máquinas completamente actualizadas en estado confiable», señalaron los investigadores en un sitio informativo.
«Más allá de romper los TEE basados en CPU, también mostramos cómo las claves de certificación extraídas se pueden usar para comprometer la Computación Confidencial de GPU de Nvidia, permitiendo a los atacantes ejecutar cargas de trabajo de IA sin ninguna protección de TEE».
Los hallazgos llegan semanas después del lanzamiento de otros dos ataques dirigidos a TEE, como Battering RAM y WireTap. A diferencia de estas técnicas que apuntan a sistemas que utilizan memoria DDR4, TEE.Fail es el primer ataque demostrado contra DDR5, lo que significa que pueden usarse para socavar las últimas protecciones de seguridad de hardware de Intel y AMD.
El último estudio ha descubierto que el modo de cifrado AES-XTS utilizado por Intel y AMD es determinista y, por tanto, no suficiente para evitar ataques de interposición de memoria física. En un escenario de ataque hipotético, un mal actor podría aprovechar el equipo personalizado para registrar el tráfico de memoria que fluye entre la computadora y la DRAM, y observar el contenido de la memoria durante las operaciones de lectura y escritura, abriendo así la puerta a un ataque de canal lateral.
En última instancia, esto podría explotarse para extraer datos de máquinas virtuales confidenciales (CVM), incluidas las claves de certificación ECDSA del Enclave de certificación de aprovisionamiento (PCE) de Intel, necesarias para romper la certificación SGX y TDX.
«Como la atestación es el mecanismo utilizado para demostrar que los datos y el código se ejecutan realmente en un CVM, esto significa que podemos pretender que sus datos y código se ejecutan dentro de un CVM cuando en realidad no es así», dijeron los investigadores. «Podemos leer sus datos e incluso proporcionarle resultados incorrectos, mientras seguimos fingiendo un proceso de certificación completado con éxito».
El estudio también señaló que SEV-SNP con Ciphertext Hiding no soluciona problemas con el cifrado determinista ni evita la interposición física del bus. Como resultado, el ataque facilita la extracción de claves de firma privadas de la implementación ECDSA de OpenSSL.
«Es importante destacar que el código criptográfico de OpenSSL es completamente de tiempo constante y nuestra máquina tenía habilitada la ocultación de texto cifrado, lo que demuestra que estas características no son suficientes para mitigar los ataques de interposición de bus», agregaron.
Si bien no hay evidencia de que el ataque se haya utilizado en la naturaleza, los investigadores recomiendan utilizar contramedidas de software para mitigar los riesgos que surgen como resultado del cifrado determinista. Sin embargo, es probable que resulten caros.
En respuesta a la divulgación, AMD dijo que no tiene planes de proporcionar mitigaciones ya que los ataques de vectores físicos están fuera del alcance de AMD SEV-SNP. Intel, en una alerta similar, señaló que TEE.fail no cambia la declaración anterior de la compañía sobre la exclusión de este tipo de ataques físicos.