Nouveau TEE. L'attaque par canal auxiliaire Fail extrait des secrets des enclaves sécurisées DDR5 d'Intel et AMD

Une nouvelle attaque par canal auxiliaire nommée TEE.Fail a été développée par des chercheurs de Georgia Tech, de l'Université Purdue et de Synkhronix. Cette attaque cible les environnements d'exécution de confiance (TEE) dans les processeurs modernes, en particulier en craquant SGX et TDX d'Intel, ainsi que SEV-SNP d'AMD avec masquage du texte chiffré. L'innovation principale réside dans l'utilisation d'un dispositif d'interposition personnalisé, fabriqué à partir d'électronique standard coûtant moins de 1 000 $, qui se connecte physiquement au trafic mémoire DDR5 sur les serveurs. Cet accès sans précédent permet aux attaquants d'inspecter toutes les données circulant sur le bus DDR5, sapant ainsi les hypothèses de sécurité de ces TEE avancés. Contrairement aux attaques précédentes ciblant la mémoire DDR4, telles que Battering RAM et WireTap, TEE.Fail est la première attaque pratique démontrée sur des systèmes basés sur DDR5. C'est un événement important car DDR5 intègre de nouvelles protections matérielles conçues pour repousser l'espionnage physique de la mémoire. Les chercheurs ont découvert qu'Intel et AMD utilisent tous deux un chiffrement AES-XTS de manière déterministe sur le trafic mémoire, ce qui malheureusement ne stoppe pas ce type d'attaque d'interposition physique. En enregistrant et en analysant les lectures et écritures mémoire, les attaquants peuvent extraire des clés sensibles, y compris les clés d'attestation ECDSA, à partir de machines virtuelles confidentielles fonctionnant sur du matériel mis à jour. Ces clés d'attestation sont critiques car elles vérifient que les données et le code s'exécutent correctement dans un environnement de confiance. Avec ces clés divulguées, il devient possible de falsifier le processus d'attestation, trompant les systèmes pour qu'ils croient que du code malveillant s'exécute en toute sécurité à l'intérieur d'un TEE tout en lisant ou en altérant les données sans être détecté. Les implications sont larges, car cette attaque ne compromet pas seulement les TEE CPU mais aussi le calcul confidentiel GPU de Nvidia, permettant aux attaquants d'exécuter des charges de travail IA sans protections TEE. Les chercheurs ont également souligné que même SEV-SNP d'AMD avec masquage du texte chiffré ne peut pas totalement protéger contre cette menace. Malgré les implémentations cryptographiques à temps constant d'OpenSSL et la présence du masquage du texte chiffré, les clés privées de signature ont été extraites via l'attaque. Cela montre que les contre-mesures matérielles et logicielles actuelles ne suffisent pas face à cette menace physique par canal auxiliaire. Bien qu'aucune preuve ne suggère que cette attaque soit activement utilisée dans la nature, l'équipe académique recommande de mettre en œuvre des atténuations logicielles contre le chiffrement déterministe, bien que celles-ci puissent être coûteuses et complexes. En réponse, AMD a déclaré que les attaques physiques comme TEE.Fail sont hors du champ de leurs garanties de sécurité SEV-SNP et qu'ils ne prévoient pas d'offrir de mitigations. Intel a exprimé une position similaire, réaffirmant que ce type d'attaques physiques reste hors du cadre de leur modèle de menace. Cela laisse un vide préoccupant où les technologies critiques d'enclaves sécurisées restent vulnérables à des attaques physiques à coût relativement faible, exposant les entreprises et les fournisseurs de cloud qui comptent sur des garanties de sécurité matérielle à des fuites potentielles de données et à des compromissions de systèmes.