TEE.Fail側(cè)信道攻擊可破解CPU可信執(zhí)行環(huán)境機(jī)密

學(xué)術(shù)研究人員開發(fā)出一種名為TEE.Fail的側(cè)信道攻擊技術(shù)，能夠從CPU的可信執(zhí)行環(huán)境（系統(tǒng)中安全性極高的區(qū)域）中提取機(jī)密信息，涉及英特爾（Intel）的SGX、TDX技術(shù)以及AMD的SEV-SNP技術(shù)。

該攻擊方法是針對(duì)DDR5系統(tǒng)的內(nèi)存總線介入式攻擊，人們升級(jí)無需芯片級(jí)專業(yè)知識(shí)。

可信執(zhí)行環(huán)境（TEE）是主處理器內(nèi)的“機(jī)密計(jì)算”硬件，用于保障敏感數(shù)據(jù)的機(jī)密性與完整性，例如身份驗(yàn)證和授權(quán)過程中使用的加密密鑰。這一環(huán)境與操作系統(tǒng)相互隔離，會(huì)創(chuàng)建受保護(hù)的內(nèi)存區(qū)域，確保代碼和數(shù)據(jù)能夠安全運(yùn)行。

研究人員指出，由于最新幾代硬件在架構(gòu)設(shè)計(jì)上的權(quán)衡取舍，英特爾SGX、TDX以及AMD SEV-SNP的現(xiàn)代實(shí)現(xiàn)版本，已不再如宣傳般安全。

具體而言，可信執(zhí)行環(huán)境已從客戶端CPU拓展至采用DDR5內(nèi)存的服務(wù)器級(jí)硬件，這類硬件采用了確定性AES-XTS內(nèi)存加密技術(shù)，同時(shí)為追求性能與擴(kuò)展性，移除了內(nèi)存完整性保護(hù)和重放保護(hù)機(jī)制。

研究人員通過實(shí)驗(yàn)證實(shí)，可利用這些缺陷實(shí)施密鑰提取與認(rèn)證偽造。TEE.Fail是首個(gè)基于DDR5的密文攻擊技術(shù)，延續(xù)了此前針對(duì)DDR4內(nèi)存的WireTap和BatteringRAM等攻擊研究。

一、攻擊實(shí)施流程與技術(shù)細(xì)節(jié)

該攻擊需滿足兩個(gè)前提：一是能夠物理接觸目標(biāo)設(shè)備，二是擁有修改內(nèi)核驅(qū)動(dòng)程序所需的根級(jí)權(quán)限。研究人員在技術(shù)論文中解釋，他們通過將系統(tǒng)內(nèi)存時(shí)鐘降至3200 MT/s（1.6 GHz），實(shí)現(xiàn)了信號(hào)的可靠捕獲。

窺探裝置（右）和目標(biāo)（左）

具體操作是在DDR5內(nèi)存模塊（DIMM）與主板之間，接入注冊(cè)內(nèi)存（RDIMM）轉(zhuǎn)接卡和定制的探針隔離網(wǎng)絡(luò)。

將介入裝置與邏輯分析儀連接后，攻擊者可記錄DDR5的命令/地址信號(hào)及數(shù)據(jù)突發(fā)傳輸過程，從而獲取物理DRAM（動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器）地址的讀寫密文。

TEE.fail 攻擊期間的 DDR5 內(nèi)存總線流量

針對(duì)英特爾SGX技術(shù)，研究人員需將虛擬地址中的數(shù)據(jù)強(qiáng)制導(dǎo)入單一內(nèi)存通道，以便通過介入裝置進(jìn)行觀測(cè)。

借助英特爾向內(nèi)存地址轉(zhuǎn)換組件開放的物理地址接口，研究人員能夠“通過系統(tǒng)文件系統(tǒng)（sysfs）向用戶空間進(jìn)一步開放這一解碼接口”。這讓他們得以獲取用于確定物理地址對(duì)應(yīng)內(nèi)存模塊位置的關(guān)鍵信息。

不過，SGX依賴操作系統(tǒng)內(nèi)核進(jìn)行物理內(nèi)存分配，因此研究人員“修改了內(nèi)核的SGX驅(qū)動(dòng)程序，使其能夠接收虛擬地址與物理地址對(duì)作為參數(shù)，并存儲(chǔ)在全局內(nèi)核內(nèi)存中”。

研究人員創(chuàng)建了一個(gè)SGX enclave，對(duì)特定虛擬內(nèi)存地址發(fā)起密集的讀寫操作。通過這一方式，他們驗(yàn)證了內(nèi)存介入裝置捕獲的加密密文，是物理內(nèi)存地址及其內(nèi)容的確定性函數(shù)。

他們解釋道：“為驗(yàn)證加密的確定性，我們指令飛地對(duì)其內(nèi)存中的固定虛擬地址執(zhí)行一系列讀寫操作，并通過邏輯分析儀捕獲每一步后的密文讀取數(shù)據(jù)。”

由于AES-XTS加密技術(shù)會(huì)使同一信息每次加密都得到相同輸出，研究團(tuán)隊(duì)向可觀測(cè)的物理地址寫入已知值，建立起密文與原始值的映射關(guān)系。

來自 enclave 數(shù)據(jù)三次讀取的密文

隨后，通過觸發(fā)并記錄目標(biāo)加密操作，觀測(cè)中間表項(xiàng)的加密訪問過程，恢復(fù)出每個(gè)簽名對(duì)應(yīng)的隨機(jī)數(shù)（nonce）位。

結(jié)合恢復(fù)的隨機(jī)數(shù)與公開簽名，即可重構(gòu)私鑰簽名密鑰，進(jìn)而偽造有效的SGX/TDX認(rèn)證報(bào)告（quotes），冒充合法的可信執(zhí)行環(huán)境。

研究人員采用相同方法，從運(yùn)行在AMD SEV-SNP保護(hù)虛擬機(jī)中的OpenSSL中提取了簽名密鑰。值得注意的是，即便啟用了“密文隱藏”安全選項(xiàng)，針對(duì)AMD SEV-SNP的攻擊依然有效。

二、攻擊影響：多場(chǎng)景安全威脅實(shí)現(xiàn)

研究人員展示的攻擊案例包括：

1. 在以太坊BuilderNet上偽造TDX認(rèn)證報(bào)告，獲取機(jī)密交易數(shù)據(jù)與密鑰，實(shí)現(xiàn)不可檢測(cè)的搶先交易；

2. 偽造英特爾和英偉達(dá)的認(rèn)證信息，使在可信執(zhí)行環(huán)境外運(yùn)行的工作負(fù)載呈現(xiàn)合法狀態(tài)；

3. 直接從飛地中提取ECDH私鑰，恢復(fù)網(wǎng)絡(luò)主密鑰，徹底破壞數(shù)據(jù)機(jī)密性；

4. 針對(duì)Xeon服務(wù)器實(shí)施攻擊，獲取用于驗(yàn)證設(shè)備身份的配置證書密鑰（PCK）。

通過TEE.Fail攻擊，研究人員證實(shí)能夠控制可信執(zhí)行環(huán)境的運(yùn)行過程，并觀測(cè)特定虛擬地址。不過該攻擊屬于復(fù)雜攻擊，需物理接觸目標(biāo)設(shè)備，在現(xiàn)實(shí)場(chǎng)景中實(shí)用性有限，對(duì)普通用戶而言暫不構(gòu)成直接威脅。

目前，研究人員已于4月向英特爾、6月向英偉達(dá)、8月向AMD通報(bào)了相關(guān)發(fā)現(xiàn)。三家廠商均已確認(rèn)問題存在，并表示正針對(duì)機(jī)密計(jì)算威脅模型研發(fā)緩解措施與適配方案，計(jì)劃在TEE.Fail技術(shù)論文公開后發(fā)布官方聲明。

參考及來源：https://www.bleepingcomputer.com/news/security/teefail-attack-breaks-confidential-computing-on-intel-amd-nvidia-cpus/