Дослідники з Технологічного інституту Джорджії та Університету Пердью представили TEE.Fail — практичну атаку на довірені середовища виконання (Trusted Execution Environments, TEE) на базі Intel SGX/TDX і AMD SEV‑SNP у системах з оперативною пам’яттю DDR5. Експеримент показує можливість витоку криптографічних ключів і підробки атестації, що ставить під сумнів окремі сценарії ізоляції в дата-центрах і хмарних середовищах.
TEE.Fail і DDR5: чому шифрування пам’яті на AES‑XTS не рятує
TEE покликані ізолювати код і секрети від ОС та гіпервізора. Проте перехід індустрії на DDR5 часто супроводжується відмовою від апаратної перевірки цілісності та захисту від повторів на рівні пам’яті — залишається лише AES‑XTS для конфіденційності. Дослідження демонструє, що такий компроміс продуктивності й вартості відкриває шлях до зламів навіть за наявності шифрування: без контролю цілісності й захисту від повторів детермінізм AES‑XTS щодо адреси дозволяє будувати «словники» шифротекстів.
Інтерпозер DDR5 і пасивний перехоплення шини пам’яті
Команда застосувала власноруч зібраний інтерпозер DDR5 вартістю менше 1000 доларів США, встановивши його між модулем пам’яті та материнською платою. За допомогою логічного аналізатора і зниження швидкості до 3200 MT/s дослідники надійно зчитували зашифровані блоки, які читають і пишуть анклави SGX/TDX і ВМ під SEV‑SNP. Це пасивний перехоплення трафіку на шині без модифікації самих модулів пам’яті.
Привілеї ОС і побудова словника шифротекстів
Для відтворюваності атаки потрібні фізичний доступ і права root для модифікації драйвера ядра. Дослідники змінили драйвер Linux SGX, аби зіставляти віртуальні та фізичні адреси й змусити анклав багаторазово звертатися до тієї самої комірки. Це підтвердило, що AES‑XTS детермінований відносно адреси: той самий адрес формує однаковий шифротекст. На цій основі побудовано таблицю відповідностей і відновлено чутливі дані.
Наслідки: підробка атестації SGX/TDX і витік ключів у SEV‑SNP
Скориставшись відновленими параметрами (включно з nonce) і наявними публічними підписами, дослідники реконструювали приватні ключі підпису, що дозволило підробляти атестацію для Intel SGX і Intel TDX. Аналогічний прийом забезпечив витік ключів підпису з OpenSSL усередині ВМ під AMD SEV‑SNP, причому метод спрацював навіть із опцією Ciphertext Hiding. На платформі Intel Xeon також було отримано Provisioning Certificate Key (PCK), який використовується для підтвердження автентичності пристрою.
Порівняння з WireTap і Battering RAM: що змінює DDR5
Методологічно TEE.Fail споріднена з атаками WireTap і Battering RAM, продемонстрованими раніше для DDR4 із застосуванням інтерпозера. Ключова відмінність — акцент на DDR5, де відсутність інтегрованої перевірки цілісності та захисту від повторів підсилює ефект детермінізму AES‑XTS і спрощує побудову «словника шифротекстів» для вилучення секретів.
Модель загроз і ризики для хмар та колокацій
Експлуатація потребує поєднання факторів: фізичного доступу, встановлення інтерпозера й прав суперкористувача для зміни драйверів. Хоча це підвищує бар’єр атаки, ризики реальні для сценаріїв evil maid, внутрішніх зловмисників, колокаційних ЦОДів і ланцюгів постачання. Для організацій, що покладаються на SGX/TDX або SEV‑SNP у процесах ізоляції та віддаленої атестації, наслідки компрометації ключів можуть бути критичними.
Реакція вендорів і як зменшити поверхню атаки вже зараз
Про уразливість повідомлено Intel (квітень), Nvidia (червень) та AMD (серпень). Компанії визнали проблему й працюють над пом’якшеннями; AMD окремо заявила, що виправлення не плануються, адже атаки з фізичним доступом виходять за межі типової мод
