Миллиарды на защиту — $50 на её обход. Столько стоит полный доступ к крупнейшим облачным сервисам
NewsMakerОбход защиты систем Intel и AMD оказался на удивление простым и бюджетным.
Группа специалистов разработала простой аппаратный инструмент, который ставит под сомнение фундаментальные основы доверенных вычислений в современных облачных средах. С помощью устройства стоимостью менее 50 долларов им удалось обойти аппаратные защиты Intel Scalable SGX и AMD SEV-SNP, обеспечивающие работу доверенных исполнений (Trusted Execution Environments, TEE). Эти технологии лежат в основе конфиденциальных вычислений, используемых крупнейшими облачными провайдерами, и защищают данные в оперативной памяти от привилегированных атак и физического доступа, включая холодные перезапуски и перехват трафика на шине памяти.
Разработанное устройство представляет собой DDR4-интерпозер, который вставляется между процессором и планкой памяти. Он манипулирует адресными линиями и создаёт динамические алиасы памяти, недоступные для обнаружения встроенными средствами защиты. В отличие от статических атак на основе изменения SPD-чипов, которые уже были учтены Intel и AMD в новых прошивках, динамическая природа интерпозера позволяет обходить проверку на этапе загрузки и работать в реальном времени. Это превращает дорогостоящие атаки с оборудованием за сотни тысяч долларов в доступный метод, требующий минимальных затрат и базовых инженерных навыков.
На системах с Intel Scalable SGX учёные впервые показали, что использование единого ключа для всего диапазона памяти делает возможным чтение и запись произвольных данных внутри защищённых анклавов. Экспериментально удалось извлечь ключ платформенного обеспечения, лежащий в основе механизма удалённой аттестации. Это полностью лишает систему доверия: злоумышленник может генерировать поддельные аттестации без доступа к реальному оборудованию. Таким образом, компрометируется базовый механизм проверки целостности окружения в облачных сервисах.
В случае с AMD SEV-SNP исследователи продемонстрировали обход новых механизмов ALIAS_CHECK, предназначенных для защиты от атак типа BadRAM. Их метод позволил воспроизвести уже считавшиеся закрытыми сценарии, включая подмену и повтор ciphertext-блоков. В результате атаки становится возможным формирование поддельных виртуальных машин, проходящих удалённую проверку как легитимные, что фактически разрушает систему доверия в экосистеме SEV .
Устройство построено на доступных компонентах: печатной плате, микроконтроллере Raspberry Pi Pico 2 и паре аналоговых ключей. Всего проект обошёлся менее чем в 50 долларов, что делает его на порядки дешевле профессиональных DDR4-анализаторов. При этом атаки выполняются детерминированно и быстро, без необходимости в дорогостоящем оборудовании или сложных условиях.
Работа показала, что даже обновлённые платформы с прошивками от Intel и AMD уязвимы к простым физическим атакам, если противник имеет временный доступ к серверу. Это может быть сотрудник облачного провайдера, цепочка поставок или даже силовые структуры, получившие доступ к оборудованию. Авторы отмечают, что такие угрозы не могут игнорироваться, так как именно для их предотвращения и была введена аппаратная шифрация памяти.
Исследователи раскрыли детали Intel в январе 2025 года, а AMD — в феврале. Обе компании признали факт уязвимости, но указали, что физические атаки находятся за пределами их моделей угроз. Arm, получившая уведомление о потенциальной применимости метода к архитектуре CCA, также заявила, что физический доступ не входит в гарантии их решений. После окончания эмбарго проект был опубликован, включая исходные материалы и прошивки для интерпозера в открытом доступе на GitHub.
Авторы подчёркивают, что переход к масштабируемым TEE сопровождался ослаблением криптографических гарантий ради производительности и поддержки всего объёма памяти. Это решение, ранее считавшееся безопасным, оказалось уязвимым перед низкобюджетными аппаратными атаками. В будущем защита может быть усилена только за счёт возвращения к более строгим криптографическим методам или перехода к интегрированной памяти, где физический доступ к шине невозможен.
Группа специалистов разработала простой аппаратный инструмент, который ставит под сомнение фундаментальные основы доверенных вычислений в современных облачных средах. С помощью устройства стоимостью менее 50 долларов им удалось обойти аппаратные защиты Intel Scalable SGX и AMD SEV-SNP, обеспечивающие работу доверенных исполнений (Trusted Execution Environments, TEE). Эти технологии лежат в основе конфиденциальных вычислений, используемых крупнейшими облачными провайдерами, и защищают данные в оперативной памяти от привилегированных атак и физического доступа, включая холодные перезапуски и перехват трафика на шине памяти.
Разработанное устройство представляет собой DDR4-интерпозер, который вставляется между процессором и планкой памяти. Он манипулирует адресными линиями и создаёт динамические алиасы памяти, недоступные для обнаружения встроенными средствами защиты. В отличие от статических атак на основе изменения SPD-чипов, которые уже были учтены Intel и AMD в новых прошивках, динамическая природа интерпозера позволяет обходить проверку на этапе загрузки и работать в реальном времени. Это превращает дорогостоящие атаки с оборудованием за сотни тысяч долларов в доступный метод, требующий минимальных затрат и базовых инженерных навыков.
На системах с Intel Scalable SGX учёные впервые показали, что использование единого ключа для всего диапазона памяти делает возможным чтение и запись произвольных данных внутри защищённых анклавов. Экспериментально удалось извлечь ключ платформенного обеспечения, лежащий в основе механизма удалённой аттестации. Это полностью лишает систему доверия: злоумышленник может генерировать поддельные аттестации без доступа к реальному оборудованию. Таким образом, компрометируется базовый механизм проверки целостности окружения в облачных сервисах.
В случае с AMD SEV-SNP исследователи продемонстрировали обход новых механизмов ALIAS_CHECK, предназначенных для защиты от атак типа BadRAM. Их метод позволил воспроизвести уже считавшиеся закрытыми сценарии, включая подмену и повтор ciphertext-блоков. В результате атаки становится возможным формирование поддельных виртуальных машин, проходящих удалённую проверку как легитимные, что фактически разрушает систему доверия в экосистеме SEV .
Устройство построено на доступных компонентах: печатной плате, микроконтроллере Raspberry Pi Pico 2 и паре аналоговых ключей. Всего проект обошёлся менее чем в 50 долларов, что делает его на порядки дешевле профессиональных DDR4-анализаторов. При этом атаки выполняются детерминированно и быстро, без необходимости в дорогостоящем оборудовании или сложных условиях.
Работа показала, что даже обновлённые платформы с прошивками от Intel и AMD уязвимы к простым физическим атакам, если противник имеет временный доступ к серверу. Это может быть сотрудник облачного провайдера, цепочка поставок или даже силовые структуры, получившие доступ к оборудованию. Авторы отмечают, что такие угрозы не могут игнорироваться, так как именно для их предотвращения и была введена аппаратная шифрация памяти.
Исследователи раскрыли детали Intel в январе 2025 года, а AMD — в феврале. Обе компании признали факт уязвимости, но указали, что физические атаки находятся за пределами их моделей угроз. Arm, получившая уведомление о потенциальной применимости метода к архитектуре CCA, также заявила, что физический доступ не входит в гарантии их решений. После окончания эмбарго проект был опубликован, включая исходные материалы и прошивки для интерпозера в открытом доступе на GitHub.
Авторы подчёркивают, что переход к масштабируемым TEE сопровождался ослаблением криптографических гарантий ради производительности и поддержки всего объёма памяти. Это решение, ранее считавшееся безопасным, оказалось уязвимым перед низкобюджетными аппаратными атаками. В будущем защита может быть усилена только за счёт возвращения к более строгим криптографическим методам или перехода к интегрированной памяти, где физический доступ к шине невозможен.