Một nhóm các nhà nghiên cứu học thuật từ Georgia Tech, Đại học Purdue và Synkhronix đã phát triển một cuộc tấn công side-channel có tên TEE.Fail. Cuộc tấn công này cho phép trích xuất các bí mật từ môi trường thực thi đáng tin cậy (TEE) trong bộ xử lý chính của máy tính, bao gồm Intel Software Guard eXtensions (SGX), Trust Domain Extensions (TDX) và AMD Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP) cùng Ciphertext Hiding.
Cốt lõi của cuộc tấn công là sử dụng một thiết bị xen kẽ được chế tạo từ các thiết bị điện tử có sẵn trên thị trường, với chi phí dưới 1.000 USD, giúp kiểm tra vật lý tất cả lưu lượng truy cập bộ nhớ bên trong máy chủ DDR5.
"Điều này lần đầu tiên cho phép chúng tôi trích xuất các khóa mã hóa từ Intel TDX và AMD SEV-SNP với Ciphertext Hiding, trong một số trường hợp bao gồm cả khóa xác thực bí mật từ các máy đã được cập nhật đầy đủ ở trạng thái đáng tin cậy," các nhà nghiên cứu đã lưu ý trên một trang thông tin.
"Ngoài việc phá vỡ các TEE dựa trên CPU, chúng tôi cũng chỉ ra cách các khóa xác thực đã trích xuất có thể được sử dụng để làm tổn hại Nvidia GPU Confidential Computing, cho phép những kẻ tấn công chạy các khối lượng công việc AI mà không có bất kỳ biện pháp bảo vệ TEE nào."
Những phát hiện này được công bố vài tuần sau khi hai cuộc tấn công khác nhằm vào các TEE, như Battering RAM và WireTap, được công bố. Không giống như các kỹ thuật này vốn nhắm mục tiêu vào các hệ thống sử dụng bộ nhớ DDR4, TEE.Fail là cuộc tấn công đầu tiên được chứng minh chống lại DDR5, có nghĩa là chúng có thể được sử dụng để làm suy yếu các biện pháp bảo vệ bảo mật phần cứng mới nhất từ Intel và AMD.
Nghiên cứu mới nhất đã phát hiện ra rằng chế độ mã hóa AES-XTS được Intel và AMD sử dụng là xác định (deterministic) và do đó không đủ để ngăn chặn các cuộc tấn công xen kẽ bộ nhớ vật lý. Trong một kịch bản tấn công giả định, một tác nhân độc hại có thể tận dụng thiết bị tùy chỉnh để ghi lại lưu lượng truy cập bộ nhớ giữa máy tính và DRAM, đồng thời quan sát nội dung bộ nhớ trong quá trình đọc và ghi, từ đó mở ra cánh cửa cho một cuộc tấn công side-channel.
Điều này cuối cùng có thể bị khai thác để trích xuất dữ liệu từ các máy ảo bảo mật (CVMs), bao gồm các khóa xác thực ECDSA từ Intel Provisioning Certification Enclave (PCE), cần thiết để phá vỡ quá trình xác thực SGX và TDX.
"Vì attestation là cơ chế được sử dụng để chứng minh rằng dữ liệu và mã thực sự được thực thi trong CVM, điều này có nghĩa là chúng tôi có thể giả vờ rằng dữ liệu và mã của bạn đang chạy bên trong CVM trong khi thực tế thì không," các nhà nghiên cứu cho biết. "Chúng tôi có thể đọc dữ liệu của bạn và thậm chí cung cấp cho bạn đầu ra không chính xác, trong khi vẫn giả mạo một quá trình attestation đã hoàn thành thành công."
Nghiên cứu cũng chỉ ra rằng SEV-SNP với Ciphertext Hiding không giải quyết được các vấn đề với mã hóa xác định (deterministic encryption) cũng như không ngăn chặn được sự xen kẽ bus vật lý. Do đó, cuộc tấn công tạo điều kiện thuận lợi cho việc trích xuất các khóa ký riêng tư từ triển khai ECDSA của OpenSSL.
"Quan trọng là, mã mật mã của OpenSSL hoàn toàn là constant-time và máy của chúng tôi đã bật Ciphertext Hiding, do đó cho thấy các tính năng này không đủ để giảm thiểu các cuộc tấn công xen kẽ bus," họ nói thêm.
Mặc dù không có bằng chứng nào cho thấy cuộc tấn công đã được sử dụng trong thực tế, các nhà nghiên cứu khuyến nghị sử dụng các biện pháp đối phó bằng phần mềm để giảm thiểu rủi ro phát sinh do mã hóa xác định. Tuy nhiên, chúng có khả năng tốn kém.
Để đối phó với tiết lộ này, AMD cho biết họ không có kế hoạch cung cấp các biện pháp giảm thiểu vì các cuộc tấn công vật lý nằm ngoài phạm vi của AMD SEV-SNP. Intel, trong một cảnh báo tương tự, lưu ý rằng TEE.fail không làm thay đổi tuyên bố trước đây của công ty về việc các loại tấn công vật lý này nằm ngoài phạm vi.
