Исследователи из Технологического института Джорджии и Университета Пердью продемонстрировали физическую атаку WireTap, способную обойти защиту технологии Intel Software Guard Extensions (SGX). С помощью специального аппаратного устройства, размещенного на шине памяти DDR4, им удалось перехватить трафик и извлечь секретный ключ аттестации ECDSA. Это фундаментально нарушает гарантии конфиденциальности SGX и позволяет злоумышленнику выдавать себя за защищенное оборудование.
Технология Intel SGX представляет собой аппаратную функцию в серверных процессорах Intel, предназначенную для создания доверенной среды выполнения (Trusted Execution Environment, TEE). Она изолирует код и данные приложений в защищенных областях памяти, называемых анклавами. Главная цель SGX — не позволить злоумышленникам, даже получившим контроль над операционной системой, просматривать память анклава или состояние процессора. Атака WireTap была нацелена на ключевой компонент этой системы — аттестационный анклав (Quoting Enclave, QE).
Атака WireTap является пассивной и осуществляется с использованием физического устройства-переходника (interposer), которое устанавливается между центральным процессором и модулем оперативной памяти DDR4. Устройство физически инспектирует и наблюдает за всем потоком данных, проходящим между процессором и памятью. Уязвимость кроется в использовании компанией Intel детерминированного шифрования, предсказуемый характер которого позволил исследователям создать «оракул» для взлома криптографического кода с постоянным временем выполнения.
Установка такого устройства-переходника возможна в рамках атаки на цепочку поставок или при прямом физическом компрометировании сервера. Главным результатом атаки стало успешное извлечение секретного ключа подписи ECDSA для аттестации SGX. Обладая этим ключом, злоумышленник может подписывать произвольные отчеты анклавов.
Это позволяет хакеру маскироваться под подлинное оборудование SGX. В результате он может выполнять код в незащищенной среде, обманывая удаленную сторону и заставляя ее верить, что данные находятся в безопасности. Таким образом открывается возможность для просмотра конфиденциальной пользовательской информации, которая должна была быть надежно защищена.
Атака WireTap имеет сходство с ранее представленной атакой Battering RAM, разработанной исследователями из Лёвенского католического университета (KU Leuven) и Бирмингемского университета. Battering RAM также использует перехватчик на шине памяти и эксплуатирует детерминированное шифрование.
Ключевое различие между ними заключается в фокусе: WireTap нацелен в первую очередь на нарушение конфиденциальности, в то время как Battering RAM — на нарушение целостности данных. Также отличается и стоимость реализации: создание устройства для Battering RAM обошлось менее чем в 50 долларов, тогда как стоимость оборудования для WireTap, включая логический анализатор, составила около 1000 долларов.
Обе группы исследователей пришли к общему выводу, что технологии Intel SGX и AMD SEV «легко взломать с помощью перехвата данных в памяти». Это ставит под сомнение надежность аппаратной изоляции в сценариях, где возможен физический доступ к оборудованию.
В качестве гипотетических целей для подобных атак называются блокчейн-проекты, использующие SGX для обеспечения конфиденциальности. В частности, уязвимыми могут оказаться такие сети, как Phala Network, Secret Network, Crust Network и IntegriTEE. Злоумышленник, успешно реализовавший атаку, способен подорвать гарантии конфиденциальности и целостности, что приведет к раскрытию секретных транзакций или неправомерному получению вознаграждений.
Корпорация Intel заявила, что атака WireTap находится «вне рамок ее модели угроз». В компании пояснили, что этот эксплойт предполагает наличие физического противника с прямым доступом к оборудованию. Используемый для шифрования памяти стандарт AES-XTS (Advanced Encryption Standard-XEX-based Tweaked Codebook Mode with Ciphertext Stealing) обеспечивает ограниченную конфиденциальность, но не предоставляет защиты от физических атак, атак повторного воспроизведения или нарушения целостности.
В связи с этим Intel не планирует выпускать исправление безопасности (патч) или регистрировать идентификатор уязвимости CVE (Common Vulnerabilities and Exposures). В качестве меры противодействия компания рекомендует размещать серверы в защищенных с физической точки зрения средах и пользоваться услугами облачных провайдеров, которые гарантируют независимую физическую безопасность оборудования.
Технология Intel SGX представляет собой аппаратную функцию в серверных процессорах Intel, предназначенную для создания доверенной среды выполнения (Trusted Execution Environment, TEE). Она изолирует код и данные приложений в защищенных областях памяти, называемых анклавами. Главная цель SGX — не позволить злоумышленникам, даже получившим контроль над операционной системой, просматривать память анклава или состояние процессора. Атака WireTap была нацелена на ключевой компонент этой системы — аттестационный анклав (Quoting Enclave, QE).
Атака WireTap является пассивной и осуществляется с использованием физического устройства-переходника (interposer), которое устанавливается между центральным процессором и модулем оперативной памяти DDR4. Устройство физически инспектирует и наблюдает за всем потоком данных, проходящим между процессором и памятью. Уязвимость кроется в использовании компанией Intel детерминированного шифрования, предсказуемый характер которого позволил исследователям создать «оракул» для взлома криптографического кода с постоянным временем выполнения.
Установка такого устройства-переходника возможна в рамках атаки на цепочку поставок или при прямом физическом компрометировании сервера. Главным результатом атаки стало успешное извлечение секретного ключа подписи ECDSA для аттестации SGX. Обладая этим ключом, злоумышленник может подписывать произвольные отчеты анклавов.
Это позволяет хакеру маскироваться под подлинное оборудование SGX. В результате он может выполнять код в незащищенной среде, обманывая удаленную сторону и заставляя ее верить, что данные находятся в безопасности. Таким образом открывается возможность для просмотра конфиденциальной пользовательской информации, которая должна была быть надежно защищена.
Атака WireTap имеет сходство с ранее представленной атакой Battering RAM, разработанной исследователями из Лёвенского католического университета (KU Leuven) и Бирмингемского университета. Battering RAM также использует перехватчик на шине памяти и эксплуатирует детерминированное шифрование.
Ключевое различие между ними заключается в фокусе: WireTap нацелен в первую очередь на нарушение конфиденциальности, в то время как Battering RAM — на нарушение целостности данных. Также отличается и стоимость реализации: создание устройства для Battering RAM обошлось менее чем в 50 долларов, тогда как стоимость оборудования для WireTap, включая логический анализатор, составила около 1000 долларов.
Обе группы исследователей пришли к общему выводу, что технологии Intel SGX и AMD SEV «легко взломать с помощью перехвата данных в памяти». Это ставит под сомнение надежность аппаратной изоляции в сценариях, где возможен физический доступ к оборудованию.
В качестве гипотетических целей для подобных атак называются блокчейн-проекты, использующие SGX для обеспечения конфиденциальности. В частности, уязвимыми могут оказаться такие сети, как Phala Network, Secret Network, Crust Network и IntegriTEE. Злоумышленник, успешно реализовавший атаку, способен подорвать гарантии конфиденциальности и целостности, что приведет к раскрытию секретных транзакций или неправомерному получению вознаграждений.
Корпорация Intel заявила, что атака WireTap находится «вне рамок ее модели угроз». В компании пояснили, что этот эксплойт предполагает наличие физического противника с прямым доступом к оборудованию. Используемый для шифрования памяти стандарт AES-XTS (Advanced Encryption Standard-XEX-based Tweaked Codebook Mode with Ciphertext Stealing) обеспечивает ограниченную конфиденциальность, но не предоставляет защиты от физических атак, атак повторного воспроизведения или нарушения целостности.
В связи с этим Intel не планирует выпускать исправление безопасности (патч) или регистрировать идентификатор уязвимости CVE (Common Vulnerabilities and Exposures). В качестве меры противодействия компания рекомендует размещать серверы в защищенных с физической точки зрения средах и пользоваться услугами облачных провайдеров, которые гарантируют независимую физическую безопасность оборудования.