Исследователи из Технологического института Джорджии и Университета Пердью представили TEE.Fail — практическую атаку на доверенные среды исполнения (TEE) в процессорах Intel и AMD, работающих с оперативной памятью DDR5. Работа демонстрирует возможность извлечения криптографических ключей и подделки аттестации для Intel SGX/TDX и AMD SEV‑SNP, что ставит под вопрос надежность некоторых сценариев изоляции в центрах обработки данных и облаках.
Что произошло: атака TEE.Fail против TEE на DDR5
TEE призваны изолировать код и ключи от ОС и гипервизора. Однако переход серверной экосистемы на DDR5 привел к отказу от встроенной защиты целостности и механизмов защиты от повторов на уровне памяти — в большинстве конфигураций остался только шифр AES‑XTS. Исследование показывает, что такой компромисс производительности и стоимости открывает путь к утечке секретов даже при шифровании памяти.
Как работает TEE.Fail: перехват шины памяти и детерминизм AES‑XTS
Интерпозер DDR5 и сбор трафика
Команда использовала собственный интерпозер DDR5 стоимостью менее 1000 долларов США, установив его между модулем памяти и материнской платой. С помощью логического анализатора и снижения частоты памяти до 3200 MT/s им удалось надежно считывать зашифрованные блоки, которые записывают и читают анклавы SGX/TDX и виртуальные машины под SEV‑SNP. По сути, это пассивный перехват трафика на шине памяти.
Манипуляции на уровне ОС и построение словаря шифротекстов
Для повышения воспроизводимости атаки требовались физический доступ к серверу и привилегии root для модификации драйвера ядра. Исследователи изменили драйвер SGX в Linux, чтобы сопоставлять виртуальные и физические адреса и принудить анклав многократно обращаться к одной и той же ячейке. Это подтвердило, что AES‑XTS детерминирован относительно адреса: один и тот же адрес приводит к одинаковому шифротексту. На этой базе они построили таблицу соответствий и восстановили чувствительные данные.
Последствия: компрометация аттестации и извлечение ключей
Используя восстановленные параметры (включая nonce) и публичные подписи, исследователи реконструировали приватные ключи подписи, что позволило им подделывать аттестации SGX и TDX и выдавать себя за доверенную среду. Аналогичный подход позволил извлечь ключи подписи из OpenSSL внутри виртуальной машины под защитой AMD SEV‑SNP, причём прием сработал даже при включенной опции Ciphertext Hiding. В отдельных тестах на сервере на базе Intel Xeon был получен и Provisioning Certificate Key (PCK), используемый для подтверждения подлинности устройства.
Сравнение с WireTap и Battering RAM
По методологии TEE.Fail близка к атакам WireTap и Battering RAM, ранее продемонстрированным для DDR4 с использованием интерпозера памяти. Ключевое отличие — прицельная работа по DDR5, то есть по современной серверной платформе, где отказ от встроенной защиты целостности и повторов усиливает роль детерминизма AES‑XTS и упрощает создание «словаря шифротекстов».
Модель угроз, ограничения и практические риски
Атака требует сочетания факторов: физический доступ к оборудованию, возможность установить интерпозер и права суперпользователя для модификации драйвера. Это повышает порог эксплуатации, но не исключает риск в сценариях «evil maid», инсайдерских угроз, в колокационных ЦОДах и в цепочках поставок. Для организаций, полагающихся на SGX/TDX или SEV‑SNP для защиты секретов и аттестации, последствия компрометации ключей критичны.
Реакция вендоров и что делать сейчас
Исследователи уведомили Intel в апреле, Nvidia в июне и AMD в августе. Компании признали проблему и заявили о работе над мерами смягчения. AMD в отдельном бюллетене указала, что исправления выпускать не планирует, так как атаки, требующие физического доступа, выходят за рамки их стандартной модели угроз. Практические рекомендации: минимизировать физический доступ к серверам, применять пломбы и датчики вскрытия корпусов, ужесточить контроль целостности драйверов и ядра (Secure/Measured Boot, HVCI), ограничивать возможности отладки и DMA, пересмотреть процессы удаленной аттестации и ротации ключей, а также оценить переход на решения с проверкой целостности памяти там, где это доступно и совместимо с производительностью.
Исследование TEE.Fail подчеркивает: одной лишь криптографии на шине памяти недостаточно, если отсутствует защита целостности и от повторов. Организациям стоит переоценить модели доверия к TEE на DDR5, обсудить с поставщиками планы по усилению аппаратной защиты и внедрить организационные меры контроля доступа. Следите за обновлениями вендоров и независимых лабораторий, тестируйте критические рабочие нагрузки в условиях реальных угроз и повышайте прозрачность процессов аттестации.
