Neues TEE. Seitenkanalangriff TEE.Fail extrahiert Geheimnisse aus Intel- und AMD-DDR5-Sicheren Enklaven

Ein neuer Seitenkanalangriff namens TEE.Fail wurde von Forschern der Georgia Tech, der Purdue University und Synkhronix entwickelt. Dieser Angriff zielt auf vertrauenswürdige Ausführungsumgebungen (TEEs) in modernen Prozessoren ab, insbesondere auf Intels SGX und TDX sowie AMDs SEV-SNP mit Ciphertext Hiding. Die Kerninnovation besteht in der Verwendung eines speziell entwickelten Interpositionsgeräts, das aus handelsüblichen Elektronikkomponenten besteht und weniger als 1.000 US-Dollar kostet, und das physisch in den DDR5-Speicherverkehr auf Servern eingreift. Dieser beispiellose Zugriff ermöglicht es Angreifern, alle Daten zu inspizieren, die über den DDR5-Bus fließen, und untergräbt damit die Sicherheitsannahmen dieser fortschrittlichen TEEs. Im Gegensatz zu früheren Angriffen, die sich auf DDR4-Speicher konzentrierten, wie Battering RAM und WireTap, ist TEE.Fail der erste praktisch demonstrierte Angriff auf DDR5-basierte Systeme. Das ist bedeutend, da DDR5 neuere Hardware-Schutzmechanismen enthält, die physisches Ausspähen des Speichers verhindern sollen. Die Forscher entdeckten, dass sowohl Intel als auch AMD AES-XTS-Verschlüsselung auf deterministische Weise auf den Speicherverkehr anwenden, was diesen physischen Interpositionsangriff leider nicht verhindert. Durch Aufzeichnen und Analysieren der Speicherzugriffe können Angreifer sensible Schlüssel, einschließlich ECDSA-Attestationsschlüssel, aus vertraulichen virtuellen Maschinen auf aktualisierter Hardware extrahieren. Diese Attestationsschlüssel sind kritisch, da sie verifizieren, dass Daten und Code ordnungsgemäß innerhalb einer vertrauenswürdigen Umgebung ausgeführt werden. Mit diesen geleakten Schlüsseln wird es möglich, den Attestationsprozess zu fälschen, Systeme zu täuschen, indem sie glauben, dass bösartiger Code sicher innerhalb eines TEE läuft, während tatsächlich Daten unbemerkt gelesen oder manipuliert werden. Die Auswirkungen sind weitreichend, da dieser Angriff nicht nur CPU-TEEs kompromittiert, sondern auch Nvidias GPU Confidential Computing angreift und es Angreifern ermöglicht, KI-Workloads ohne TEE-Schutz auszuführen. Die Forscher hoben auch hervor, dass selbst AMDs SEV-SNP mit Ciphertext Hiding diesen Bedrohungen nicht vollständig standhalten kann. Trotz der konstantzeitlichen kryptografischen Implementierungen von OpenSSL und der Existenz von Ciphertext Hiding konnten private Signaturschlüssel durch den Angriff extrahiert werden. Dies zeigt, dass aktuelle Hardware- und Software-Gegenmaßnahmen gegen diese physische Seitenkanalbedrohung nicht ausreichen. Obwohl keine Hinweise darauf vorliegen, dass dieser Angriff aktiv in der Wildnis eingesetzt wird, empfiehlt das akademische Team die Implementierung softwarebasierter Gegenmaßnahmen gegen deterministische Verschlüsselung, auch wenn diese kostspielig und komplex sein können. Als Reaktion darauf erklärte AMD, dass physische Vektorangriffe wie TEE.Fail nicht in den Geltungsbereich ihrer SEV-SNP-Sicherheitsgarantien fallen und sie keine Gegenmaßnahmen planen. Intel äußerte eine ähnliche Haltung und bekräftigte, dass diese Arten physischer Angriffe außerhalb ihres Bedrohungsmodells liegen. Dies hinterlässt eine besorgniserregende Lücke, in der kritische sichere Enklaventechnologien relativ kostengünstigen physischen Angriffen ausgesetzt bleiben, was Unternehmen und Cloud-Anbieter, die auf hardwarebasierte Sicherheitsgarantien vertrauen, potenziellen Datenlecks und Systemkompromittierungen aussetzt.