Исследователи из Левенского католического университета и Бирмингемского университета представили Battering RAM — аппаратную атаку, позволяющую обходить механизмы конфиденциальных вычислений Intel SGX и AMD SEV-SNP, широко применяемые в облачных средах. Хотя для эксплуатации требуется физический доступ к серверу, работа демонстрирует принципиальные ограничения современного шифрования памяти и ставит вопросы к угрозам со стороны инсайдеров и цепочки поставок.
Что такое Battering RAM и почему это важно для облаков
Battering RAM продолжает линию исследований команды, ранее показавшей атаку BadRAM на AMD SEV-SNP с использованием недорогого оборудования. На этот раз фокус — на подрыве доверенной изоляции данных и коду внутри enclave (SGX) и защищенных виртуальных машин (SEV-SNP). Эти технологии позиционируются как ключевой слой защиты в моделях confidential computing, где даже привилегированный администратор хоста не должен видеть данные.
Как работает аппаратная атака на шине памяти
Суть Battering RAM — в использовании «прокладки» между процессором и оперативной памятью: незаметного интерпозера на линии DRAM, который размещается на модуле DIMM. По данным авторов, такое устройство можно собрать с минимальным бюджетом и оно не вызывает тревожных сигналов со стороны ОС или гипервизора. После активации интерпозер скрытно перенаправляет обращения к защищенным адресам на контролируемые злоумышленником области, тем самым фактически обходя шифрование памяти и механизмы проверки целостности на этапе загрузки.
Исследователи утверждают, что эта техника предоставляет произвольный доступ к незашифрованным данным в памяти, защищенной SGX, и нарушает аттестацию SEV-SNP даже на полностью обновленных системах. Важная деталь: первоначальный прототип ориентирован на DDR4, однако архитектурно подход масштабируется и к DDR5.
Кто находится в зоне риска и почему программные патчи не помогают
Эксплуатация требует физического доступа к серверу, что традиционно исключается из базовой модели угроз для CPU. Тем не менее в реальных условиях к потенциальным противникам относятся недобросовестные сотрудники провайдера, техники дата-центров, представители правоохранительных органов при изъятиях, а также участники цепочки поставок модулей памяти. Критично, что уязвимость расположена ниже уровня ОС и гипервизора: обновления ПО и прошивок не устраняют проблему, поскольку вмешательство происходит непосредственно на шине памяти.
Реакция производителей и доступные механизмы защиты
Intel и AMD были уведомлены об исследовании в феврале 2025 года и выпустили бюллетени одновременно с публикацией результатов. Обе компании подчеркивают, что атаки с физическим доступом выходят за рамки стандартной модели угроз их продуктов. Intel дополнительно указывает на поддержку Total Memory Encryption – Multi‑Key (TME‑MK) в ряде Xeon как меры снижения рисков подобных атак и рекомендует усилить физическую защиту инфраструктуры.
SEV‑SNP и SGX давно считаются ключевыми компонентами «конфиденциальных вычислений», однако Battering RAM показывает, что шифрование памяти на масштабе платформы не нейтрализует вмешательство в линию DIMM. Это согласуется с более ранними академическими работами, демонстрировавшими уязвимость доверенных сред при атаке на аппаратный периметр (например, исследования в области побочных каналов SGX и атак на целостность шины памяти).
Практические рекомендации: как снижать риск
Для облачных провайдеров и владельцев ЦОД приоритет — управление физическими угрозами: строгая сегментация зон, контроль доступа по принципу наименьших привилегий, видеонаблюдение, журналирование и независимые аудиты. На уровне железа полезны замки стоек, датчики вскрытия корпусов, пломбы на DIMM и цепочка контроля поставок с проверкой модулей памяти при приемке.
На уровне архитектуры рекомендуется: включение платформенного шифрования памяти (например, TME‑MK на поддерживаемых системах), минимизация операций «горячей» замены компонентов, оформление SLA с провайдерами, которые явно описывают границы модели угроз и ответственность за физическую безопасность, а также рассмотрение специализированных решений с шифрованием «на линии» DIMM, если они доступны и совместимы с целевыми нагрузками.
Battering RAM — напоминание, что доверие к защищенным вычислениям должно опираться не только на криптографию, но и на практики физической безопасности и управление поставками. Организациям стоит пересмотреть свои модели угроз, обновить процедуры контроля доступа в ЦОД, оценить возможности TME‑MK и аналогичных механизмов, а также регулярно отслеживать рекомендации производителей. Это позволит сохранить преимущества confidential computing, не игнорируя уязвимости, находящиеся «ниже уровня» ПО.
