Группа исследователей из Университета Бирмингема продемонстрировала атаку VoltPillager,  которая способна нарушить конфиденциальность и целостность данных в анклавах Intel SGX. Для реализации данной этой исследователи научились манипулировать напряжением ядра процессора.

Напомню, что еще с релизом архитектуры Skylake компания Intel представила технологию, получившую название SGX (Software Guard Extensions). SGX – это набор инструкций ЦП, благодаря которым приложения могут создавать защищенные зоны (анклавы) в адресном пространстве приложения, внутри которых под надежной защитой могут храниться различные конфиденциальные данные. Анклавы SGX обычно изолированы на аппаратном уровне (память SGX отделена от остальной памяти ЦП) и на программном уровне (данные SGX зашифрованы). Сами разработчики описывают эту технологию как своеобразную «обратную песочницу» (inverse sandbox).

Год назад некоторые члены исследовательской команды Университета Бирмингема участвовали в разработке похожей атаки, Plundervolt (CVE-2019-11157). Напомню, что Plundervolt злоупотребляет интерфейсом, посредством которого операционная система может контролировать напряжение и частоту процессора. Этот же интерфейс используется геймерам при разгоне.

Фактически, год назад исследователи доказали, что корректируя напряжение и частоту процессора, они могут изменять биты внутри SGX, что приведет к возникновению ошибок, которые могут быть использованы позднее, после того как данные покинут безопасный анклав. В итоге атака Plundervolt могла быть использована для восстановления ключей шифрования или привнесения багов в ранее надежное ПО.

После раскрытия информации о Plundervolt  в декабре 2019 года разработчики Intel устранили уязвимость, отключив возможность снижения напряжения процессора с помощью обновлений микрокода и BIOS.

Теперь же исследователи рассказывают, что сумели реализовать очень похожую аппаратную атаку на SGX, при этом потратив всего 36 долларов США на оборудование для взлома. Детальную презентацию VoltPillager ученые планируют провести в будущем году, на конференции Usenix Security 2021, а пока они опубликовали научный доклад о своих изысканиях.

VoltPillager работает даже на тех системах, которые получили патч для уязвимости CVE-2019-11157. Суть атаки заключается во внедрении сообщений в шину Serial Voltage Identification (SVID), между ЦП и регулятором напряжения, с целью управления напряжением в ядре ЦП.

К счастью, VoltPillager — это не удаленная атака. Для ее реализации нужен физический доступ к серверу, вскрытие корпуса и подключение специального оборудования. Однако исследователи объясняю, что смысл SGX как раз заключается в том, чтобы защищать конфиденциальные данные, в том числе, от недобросовестных администраторов. Например, в том случае, если серверы находятся в чужом дата-центре или у поставщика облачных услуг, и местный персонал может получить физический доступ к машине, скомпрометировать процессор Intel и его защиту SGX.

«Эта атака особенно актуальна в силу того, что часто можно услышать утверждения, будто SGX защищает от вредоносных инсайдеров или облачных провайдеров, — пишут эксперты. — Мы демонстрируем, что это не так. То есть физические атаки на SGX возможны и стоят очень дешево (около 30 долларов). Кроме того, в отличие от предыдущих атак на SGX, найденные нами проблемы не получится легко исправить (скажем, с помощью микрокода)».

Отчет команды гласит, что в качестве защиты от VoltPillager, к примеру, можно применять криптографическую аутентификацию для SVID или использовать CPU-мониторинг вредоносных пакетов для SVID. Однако исследователи полагают, что ни один из этих методов не даст хороших результатов, и лишь аппаратные изменения смогут заметно изменить ситуацию.

Но, похоже, представители Intel не слишком обеспокоены сообщениями ученых, и патчей можно не ждать. Так, исследователи предупредили Intel о своей находке еще в марте текущего года, однако в компании ответили, что «вскрытие корпуса и вмешательство во внутреннее оборудование для компрометации SGX не входит в рамки модели рисков SGX. Патчи для уязвимости CVE-2019-11157 (Plundervolt) не предназначены для защиты от аппаратных атак».

Практически аналогичный комментарий представители Intel дали на этой неделе журналистам издания The Register:

«Техники атак, которые требуют физического вскрытия корпуса, в том числе выкручивания винтов или повреждения пластиковых креплений, с целью получения доступа к внутреннему оборудованию устройства, обычно не рассматриваются как уязвимость. Мы традиционно можем порекомендовать пользователям, поддерживать системы в актуальном состоянии, а также физически владеть устройствами».

Оставить мнение