Investigadores de ciberseguridad han descubierto dos ataques distintos que podrĂan explotarse contra los procesadores Intel modernos para filtrar informaciĂ³n confidencial de los entornos de ejecuciĂ³n de confianza (TEE) de la CPU.
Llamado SGAxe , el primero de los defectos es una evoluciĂ³n del ataque CacheOut previamente descubierto (CVE-2020-0549) a principios de este año que permite a un atacante recuperar el contenido del cachĂ© L1 de la CPU.
"Al utilizar el ataque extendido contra los enclaves SGX arquitectĂ³nicos firmados y provistos por Intel, recuperamos la clave de certificaciĂ³n secreta utilizada para probar criptogrĂ¡ficamente la autenticidad de los enclaves en la red, lo que nos permite pasar enclaves falsos como genuinos", un grupo de acadĂ©micos de la universidad de Michigan dijo.
La segunda lĂnea de ataque, denominada CrossTalk por investigadores de la Universidad VU de Amsterdam, permite la ejecuciĂ³n de cĂ³digo controlado por el atacante en un nĂºcleo de CPU para apuntar a enclaves SGX que se ejecutan en un nĂºcleo completamente diferente y determinar las claves privadas del enclave.
Un TEE, como las Extensiones de protecciĂ³n de software de Intel ( SGX ), se refiere a un enclave seguro, un Ă¡rea dentro de un procesador que garantiza la confidencialidad e integridad del cĂ³digo y los datos. Ofrece protecciones contra la modificaciĂ³n de software y datos confidenciales por parte de actores maliciosos que pueden haber entrado en la mĂ¡quina de destino (virtual).
Ataque SGAxe: extracciĂ³n de datos confidenciales de enclaves SGX
SGAxe se basa en el ataque de ejecuciĂ³n especulativo CacheOut para robar datos SGX. SegĂºn los investigadores, si bien Intel tomĂ³ medidas para abordar los ataques de canal lateral contra SGX a travĂ©s de varias actualizaciones de microcĂ³digo y nuevas arquitecturas, las mitigaciones han resultado ineficaces.
Esa vulnerabilidad, como resultado, resulta en un ataque de ejecuciĂ³n transitoria que puede recuperar claves criptogrĂ¡ficas SGX de una mĂ¡quina Intel totalmente actualizada, en la que confĂa el servidor de certificaciĂ³n de Intel.
Atestaciones un mecanismo ofrecido como parte de SGX que permite a los enclaves probar a terceros que se han inicializado correctamente en un procesador Intel genuino. La idea es garantizar que el software que se ejecuta dentro de la CPU no haya sido alterado y tener una mayor confianza de que el software se estĂ¡ ejecutando dentro del enclave.
"En pocas palabras, usamos CacheOut para recuperar las claves de sellado desde el espacio de direcciones del enclave de citas de producciĂ³n de Intel", declararon los investigadores. "Finalmente, utilizamos las claves de sellado recuperadas para descifrar el almacenamiento a largo plazo del enclave de citas, obteniendo las claves de certificaciĂ³n EPID de las mĂ¡quinas".
Al romper esta confianza, SGAxe facilita a un atacante la creaciĂ³n de un enclave corrupto que pasa el mecanismo de certificaciĂ³n de Intel, lo que resulta en la pĂ©rdida de las garantĂas de seguridad.
"Con las claves de certificaciĂ³n de producciĂ³n de la mĂ¡quina comprometidas, los secretos proporcionados por [el] servidor son legibles de inmediato por la aplicaciĂ³n de host no confiable del cliente, mientras que no se puede confiar en la exactitud de todas las salidas supuestamente producidas por enclaves que se ejecutan en el cliente", dijeron los investigadores. "Esto hace que las aplicaciones DRM basadas en SGX sean inĂºtiles, ya que cualquier secreto provisto se puede recuperar trivialmente".
Aunque Intel emitiĂ³ correcciones para CacheOut en eneroa travĂ©s de una actualizaciĂ³n de microcĂ³digo para proveedores OEM y posteriormente a travĂ©s de actualizaciones de BIOS para usuarios finales, las mitigaciones para SGAxe requerirĂ¡n parchear la causa raĂz detrĂ¡s de CacheOut (tambiĂ©n conocido como M1 Eviction Sampling ).
"Es importante tener en cuenta que SGAxe se basa en CVE-2020-0549, que ha sido mitigado en microcĂ³digo (confirmado por los investigadores en su documento actualizado CacheOut) y distribuido al ecosistema", dijo Intel en un aviso de seguridad .
El fabricante de chips tambiĂ©n realizarĂ¡ una recuperaciĂ³n de Trusted Compute Base (TCB) para invalidar todas las claves de certificaciĂ³n previamente firmadas.
"Este proceso garantizarĂ¡ que su sistema se encuentre en un estado seguro de modo que pueda volver a utilizar la certificaciĂ³n remota", declararon los investigadores.
CrossTalk Attack: Fugas de informaciĂ³n en nĂºcleos de CPU
CrossTalk ( CVE-2020-0543 ), el segundo exploit SGX, es lo que la Universidad VU llama un ataque MDS (Microarchitectural Data Sampling). Aprovecha un bĂºfer de "puesta en escena" que se puede leer en todos los nĂºcleos de la CPU para montar ataques de ejecuciĂ³n transitorios en los nĂºcleos y extraer la clave privada ECDSA completa de un enclave seguro que se ejecuta en un nĂºcleo de CPU separado.
"El almacenamiento intermedio de almacenamiento retiene los resultados de instrucciones de ejecuciĂ³n ejecutadas previamente en todos los nĂºcleos de CPU", observaron los investigadores. "Por ejemplo, contiene los nĂºmeros aleatorios devueltos por el DRNG de hardware externo, los hashes de estado de bootguard y otros datos confidenciales".
Dicho de otra manera, CrossTalk funciona leyendo el bĂºfer de ensayo durante la ejecuciĂ³n transitoria para filtrar datos confidenciales a los que acceden las instrucciones de vĂctimas ejecutadas previamente.
El hecho de que el bĂºfer retiene la salida de las instrucciones RDRAND y RDSEED hace posible que una parte no autorizada rastree los nĂºmeros aleatorios generados y, por lo tanto, compromete las operaciones criptogrĂ¡ficas que sustentan el enclave SGX, incluido el proceso de certificaciĂ³n remota antes mencionado .
Con las CPU Intel lanzadas de 2015 a 2019, contando las CPU Xeon E3 y E, son susceptibles a los ataques, los investigadores de la Universidad VU dijeron que compartiĂ³ con Intel una prueba de concepto que demuestra la fuga del contenido del almacenamiento intermedio provisional en septiembre de 2018, seguido de un PoC implementando la filtraciĂ³n RDRAND / RDSEED entre nĂºcleos en julio de 2019.
"Las mitigaciones contra los ataques de ejecuciĂ³n transitorios existentes son en gran medida ineficaces", resumiĂ³ el equipo. "La mayorĂa de las mitigaciones actuales dependen del aislamiento espacial en los lĂmites que ya no son aplicables debido a la naturaleza de nĂºcleo cruzado de estos ataques. Las nuevas actualizaciones de microcĂ³digo que bloquean todo el bus de memoria para estas instrucciones pueden mitigar estos ataques, pero solo si hay no hay problemas similares que aĂºn no se han encontrado ".
En respuesta a los hallazgos, Intel abordĂ³ la falla en una actualizaciĂ³n de microcĂ³digo distribuida a los proveedores de software ayer despuĂ©s de un perĂodo de divulgaciĂ³n prolongado de 21 meses debido a la dificultad de implementar una soluciĂ³n.
La compañĂa ha recomendado a los usuarios de los procesadores afectados que actualicen a la Ăºltima versiĂ³n del firmware proporcionada por los fabricantes del sistema para abordar el problema.
