Hogyan működik a támadás?
A TEE.Fail támadáshoz fizikai hozzáférés szükséges a célgéphez, valamint mély rendszergazdai jogosultság, de chip-szintű szakértelem nélkül is kivitelezhető. Egy speciális memória-busz köztes eszközt, úgynevezett interposert, valamint saját tervezésű izolációs hálózatot iktattak be a DDR5 memóriamodul és az alaplap közé. Az adatforgalom mintáit egy logikai analizátorral rögzítették, ami lehetővé tette a memóriába írt és onnan olvasott titkosított adatok megfigyelését.
Nem elhanyagolható tényező, hogy a korszerű szerverprocesszorokban lévő TEE-k funkcionalitásához a sebesség és a méretezhetőség érdekében számos biztonsági jellemzőt – mint a memória-integritás- és visszajátszásvédelem – elhagytak, miközben determinisztikus AES-XTS titkosítást alkalmaznak. Emiatt ugyanarra a bemenetre mindig ugyanaz a titkosított kimenet készül, ami térképezési támadásokra is lehetőséget ad.
Kulcsok visszafejtése és azonosítás hamisítása
A kutatók egy SGX elzárt környezetet készítettek, amely folyamatos olvasási és írási műveletekkel bombázta ugyanazt a virtuális memóriacímet. A támadók így igazolták, hogy a fizikai címekhez köthető titkosított adattartalmak ténylegesen előre meghatározottak. Ezután már csak az volt a feladat, hogy jól ismert értékeket írjanak a megfigyelhető címekre, majd ezek titkosított mintáit összehasonlítva visszafejtsék a titkosítási kulcsokat.
Az eljárással sikerült magán titkosítókulcsokat is visszanyerni, amelyekkel érvényes SGX/TDX tanúsítványokat állítottak elő, így nem valódi TEE-rendszereket is hitelesnek tüntethettek fel, sőt, akár az Ethereum BuilderNeten is hozzáférhettek bizalmas tranzakciós adatokhoz. A módszer működött az AMD SEV-SNP védelemmel is, ráadásul akkor is, ha a titkosítás elrejtése opciót aktiválták. Segítségével visszafejtették az ECDH privát kulcsokat, így a teljes hálózati mesterkulcsot is megszerezték.
Bár a támadás kihívást jelentő, mert komoly előkészületeket és fizikai hozzáférést igényel, a kutatók egy Xeon szerveren a Provisioning Certificate Key-hez is hozzájutottak – ez az eszközazonosítás legmagasabb szintű kulcsa.
Milyen következményei vannak?
Következésképpen a TEE.Fail rámutatott, hogy a napjainkban széles körben bevezetett bizalmas számítási technológiák, amelyeket akár pénzügyi, egészségügyi, akár kormányzati rendszerek is használnak, nem immunisak a célzott, fizikai eléréssel kombinált támadásokra. Nem elhanyagolható, hogy az Intel, az AMD és az NVIDIA hivatalosan is elismerték a sebezhetőségeket, és dolgoznak a javítási lehetőségeken, viszont a problémák természetéből adódóan nem várható átfogó szoftveres megoldás. Bár a hétköznapi felhasználók számára a veszély csekély, a kritikus infrastruktúrák védelme kérdéses marad.
