學術研究人員開發(fā)出一種名為TEE.Fail的側(cè)信道攻擊技術，能夠從CPU的可信執(zhí)行環(huán)境（系統(tǒng)中安全性極高的區(qū)域）中提取機密信息，涉及英特爾（Intel）的SGX、TDX技術以及AMD的SEV-SNP技術。

該攻擊方法是針對DDR5系統(tǒng)的內(nèi)存總線介入式攻擊，人們升級無需芯片級專業(yè)知識。

可信執(zhí)行環(huán)境（TEE）是主處理器內(nèi)的“機密計算”硬件，用于保障敏感數(shù)據(jù)的機密性與完整性，例如身份驗證和授權過程中使用的加密密鑰。這一環(huán)境與操作系統(tǒng)相互隔離，會創(chuàng)建受保護的內(nèi)存區(qū)域，確保代碼和數(shù)據(jù)能夠安全運行。

研究人員指出，由于最新幾代硬件在架構設計上的權衡取舍，英特爾SGX、TDX以及AMD SEV-SNP的現(xiàn)代實現(xiàn)版本，已不再如宣傳般安全。

具體而言，可信執(zhí)行環(huán)境已從客戶端CPU拓展至采用DDR5內(nèi)存的服務器級硬件，這類硬件采用了確定性AES-XTS內(nèi)存加密技術，同時為追求性能與擴展性，移除了內(nèi)存完整性保護和重放保護機制。

研究人員通過實驗證實，可利用這些缺陷實施密鑰提取與認證偽造。TEE.Fail是首個基于DDR5的密文攻擊技術，延續(xù)了此前針對DDR4內(nèi)存的WireTap和BatteringRAM等攻擊研究。

一、攻擊實施流程與技術細節(jié)

該攻擊需滿足兩個前提：一是能夠物理接觸目標設備，二是擁有修改內(nèi)核驅(qū)動程序所需的根級權限。研究人員在技術論文中解釋，他們通過將系統(tǒng)內(nèi)存時鐘降至3200 MT/s（1.6 GHz），實現(xiàn)了信號的可靠捕獲。

窺探裝置（右）和目標（左）

具體操作是在DDR5內(nèi)存模塊（DIMM）與主板之間，接入注冊內(nèi)存（RDIMM）轉(zhuǎn)接卡和定制的探針隔離網(wǎng)絡。

將介入裝置與邏輯分析儀連接后，攻擊者可記錄DDR5的命令/地址信號及數(shù)據(jù)突發(fā)傳輸過程，從而獲取物理DRAM（動態(tài)隨機存取存儲器）地址的讀寫密文。

TEE.fail 攻擊期間的 DDR5 內(nèi)存總線流量

針對英特爾SGX技術，研究人員需將虛擬地址中的數(shù)據(jù)強制導入單一內(nèi)存通道，以便通過介入裝置進行觀測。

借助英特爾向內(nèi)存地址轉(zhuǎn)換組件開放的物理地址接口，研究人員能夠“通過系統(tǒng)文件系統(tǒng)（sysfs）向用戶空間進一步開放這一解碼接口”。這讓他們得以獲取用于確定物理地址對應內(nèi)存模塊位置的關鍵信息。

不過，SGX依賴操作系統(tǒng)內(nèi)核進行物理內(nèi)存分配，因此研究人員“修改了內(nèi)核的SGX驅(qū)動程序，使其能夠接收虛擬地址與物理地址對作為參數(shù)，并存儲在全局內(nèi)核內(nèi)存中”。

研究人員創(chuàng)建了一個SGX enclave，對特定虛擬內(nèi)存地址發(fā)起密集的讀寫操作。通過這一方式，他們驗證了內(nèi)存介入裝置捕獲的加密密文，是物理內(nèi)存地址及其內(nèi)容的確定性函數(shù)。

他們解釋道：“為驗證加密的確定性，我們指令飛地對其內(nèi)存中的固定虛擬地址執(zhí)行一系列讀寫操作，并通過邏輯分析儀捕獲每一步后的密文讀取數(shù)據(jù)。”

由于AES-XTS加密技術會使同一信息每次加密都得到相同輸出，研究團隊向可觀測的物理地址寫入已知值，建立起密文與原始值的映射關系。

來自 enclave 數(shù)據(jù)三次讀取的密文

隨后，通過觸發(fā)并記錄目標加密操作，觀測中間表項的加密訪問過程，恢復出每個簽名對應的隨機數(shù)（nonce）位。

結合恢復的隨機數(shù)與公開簽名，即可重構私鑰簽名密鑰，進而偽造有效的SGX/TDX認證報告（quotes），冒充合法的可信執(zhí)行環(huán)境。

研究人員采用相同方法，從運行在AMD SEV-SNP保護虛擬機中的OpenSSL中提取了簽名密鑰。值得注意的是，即便啟用了“密文隱藏”安全選項，針對AMD SEV-SNP的攻擊依然有效。

二、攻擊影響：多場景安全威脅實現(xiàn)

研究人員展示的攻擊案例包括：

1. 在以太坊BuilderNet上偽造TDX認證報告，獲取機密交易數(shù)據(jù)與密鑰，實現(xiàn)不可檢測的搶先交易；

2. 偽造英特爾和英偉達的認證信息，使在可信執(zhí)行環(huán)境外運行的工作負載呈現(xiàn)合法狀態(tài)；

3. 直接從飛地中提取ECDH私鑰，恢復網(wǎng)絡主密鑰，徹底破壞數(shù)據(jù)機密性；

4. 針對Xeon服務器實施攻擊，獲取用于驗證設備身份的配置證書密鑰（PCK）。

通過TEE.Fail攻擊，研究人員證實能夠控制可信執(zhí)行環(huán)境的運行過程，并觀測特定虛擬地址。不過該攻擊屬于復雜攻擊，需物理接觸目標設備，在現(xiàn)實場景中實用性有限，對普通用戶而言暫不構成直接威脅。

目前，研究人員已于4月向英特爾、6月向英偉達、8月向AMD通報了相關發(fā)現(xiàn)。三家廠商均已確認問題存在，并表示正針對機密計算威脅模型研發(fā)緩解措施與適配方案，計劃在TEE.Fail技術論文公開后發(fā)布官方聲明。

參考及來源：https://www.bleepingcomputer.com/news/security/teefail-attack-breaks-confidential-computing-on-intel-amd-nvidia-cpus/