Een groep academische onderzoekers van Georgia Tech, Purdue University en Synkhronix hebben een zijkanaalaanval ontwikkeld, genaamd TEE.Mislukt waarmee geheimen uit de vertrouwde uitvoeringsomgeving (TEE) in de hoofdprocessor van een computer kunnen worden geëxtraheerd, waaronder Intel’s Software Guard eXtensions (SGX) en Trust Domain Extensions (TDX) en AMD’s Secure Encrypted Virtualization met Secure Nested Paging (SEV-SNP) en Ciphertext Hiding.
De aanval omvat in de kern het gebruik van een interpositieapparaat dat is gebouwd met kant-en-klare elektronische apparatuur, dat minder dan duizend dollar kost en het mogelijk maakt al het geheugenverkeer binnen een DDR5-server fysiek te inspecteren.
“Hiermee kunnen we voor het eerst cryptografische sleutels uit Intel TDX en AMD SEV-SNP halen met Ciphertext Hiding, inclusief in sommige gevallen geheime attestsleutels van volledig bijgewerkte machines met een vertrouwde status”, noteerden de onderzoekers op een informatieve site.
“Naast het doorbreken van CPU-gebaseerde TEE’s, laten we ook zien hoe geëxtraheerde attestsleutels kunnen worden gebruikt om Nvidia’s GPU Confidential Computing in gevaar te brengen, waardoor aanvallers AI-workloads kunnen uitvoeren zonder enige TEE-bescherming.”
De bevindingen komen weken na de release van twee andere aanvallen gericht op TEE’s, zoals Battering RAM en WireTap. In tegenstelling tot deze technieken die zich richten op systemen die DDR4-geheugen gebruiken, is TEE.Fail de eerste aanval die tegen DDR5 wordt gedemonstreerd, wat betekent dat ze kunnen worden gebruikt om de nieuwste hardwarebeveiligingsmaatregelen van Intel en AMD te ondermijnen.
Uit het laatste onderzoek is gebleken dat de AES-XTS-encryptiemodus die door Intel en AMD wordt gebruikt, deterministisch is en daarom niet voldoende om aanvallen op fysieke geheugeninterpositie te voorkomen. In een hypothetisch aanvalsscenario zou een slechte actor de aangepaste apparatuur kunnen gebruiken om het geheugenverkeer tussen de computer en het DRAM vast te leggen en de geheugeninhoud te observeren tijdens lees- en schrijfbewerkingen, waardoor de deur wordt geopend voor een zijkanaalaanval.
Dit zou uiteindelijk kunnen worden uitgebuit om gegevens te extraheren uit vertrouwelijke virtuele machines (CVM’s), inclusief ECDSA-attestsleutels uit Intel’s Provisioning Certification Enclave (PCE), die nodig zijn om de SGX- en TDX-attest te doorbreken.
“Aangezien attestatie het mechanisme is dat wordt gebruikt om te bewijzen dat gegevens en code daadwerkelijk in een CVM worden uitgevoerd, betekent dit dat we kunnen doen alsof uw gegevens en code binnen een CVM draaien, terwijl dat in werkelijkheid niet het geval is”, aldus de onderzoekers. “We kunnen uw gegevens lezen en u zelfs onjuiste uitvoer geven, terwijl we nog steeds een succesvol voltooid attestproces nabootsen.”
Het onderzoek wees er ook op dat SEV-SNP met Ciphertext Hiding geen problemen met deterministische encryptie aanpakt, noch fysieke businterpositie verhindert. Als gevolg hiervan vergemakkelijkt de aanval de extractie van privé-ondertekeningssleutels uit de ECDSA-implementatie van OpenSSL.
“Belangrijk is dat de cryptografische code van OpenSSL volledig constant is en dat Ciphertext Hiding op onze machine is ingeschakeld, wat aantoont dat deze functies niet voldoende zijn om businterpositieaanvallen te verminderen”, voegde ze eraan toe.
Hoewel er geen bewijs is dat de aanval in het wild is toegepast, raden de onderzoekers aan om softwarematige tegenmaatregelen te nemen om de risico’s die voortvloeien uit deterministische encryptie te beperken. Ze zullen echter waarschijnlijk duur zijn.
In reactie op de onthulling zei AMD dat het geen plannen heeft om oplossingen te bieden, aangezien fysieke vectoraanvallen buiten het bereik vallen van AMD SEV-SNP. Intel merkte in een soortgelijke waarschuwing op dat TEE.fail de eerdere out-of-scope-verklaring van het bedrijf voor dit soort fysieke aanvallen niet verandert.
