50美元“Battering RAM”攻击可破解机密计算防御

50美元“Battering RAM”可破解机密计算

安全研究人员制造了一款价值50美元的设备，能够绕过云环境硬件中使用的英特尔和AMD处理器的机密计算防御，从而使攻击者能够破坏旨在保护敏感数据的加密机制。

这种名为“Battering RAM”的攻击可以突破英特尔SGX和AMD SEV-SNP处理器防御，这些防御“旨在保护敏感工作负载免受受损主机、恶意云提供商或恶意内部人员的侵害”。开发该攻击的鲁汶大学和伯明翰大学/杜伦大学研究人员如此表示。

Battering RAM攻击原理

商用被动DRAM互连器通常成本超过10万美元，但研究人员详细介绍了他们如何使用模拟开关开发定制互连器，以操纵处理器和内存之间的信号，成本不到50美元。

该印刷电路板采用标准四层设计，可在任何主要PCB制造商处制造。互连器的原理图和板文件通过研究团队的GitHub仓库开源提供。

Battering RAM是研究人员之前开发的BadRAM攻击的演进版本，同样利用物理地址别名来修改和重放AMD SEV-SNP系统上的加密内存。BadRAM通过引入静态幽灵地址线实现此目的，而Battering RAM通过在运行时动态引入内存别名来升级攻击手段。

绕过处理器内存防御

该攻击根据处理器的不同，以略微不同的方式绕过内存保护：

• 英特尔TME技术：研究人员解释，用于英特尔可扩展SGX的单密钥域，通过互连器诱导的别名实现任意明文访问
• AMD SEV-SNP：通过捕获和重放启动测量值来破坏SEV的认证机制

芯片制造商的回应

英特尔和AMD都已承认此漏洞，但表示“对DRAM的物理攻击不在其当前产品范围内”，因此不会对其处理器技术进行任何更改来缓解潜在攻击。

两家公司还分别发布了关于此攻击的公告，英特尔建议使用“英特尔TME-MK的加密完整性保护模式”可提供额外保护，而AMD表示不计划发布任何缓解措施，因为报告的漏洞“不在SEV-SNP发布威胁模型范围内”。

研究意义

研究人员表示，他们的攻击证明机密计算“并非无懈可击”，防御者应重新评估威胁模型，以更好地理解和准备物理攻击。

“加密内存本身并不能防止物理篡改，”研究人员说，“在涉及有限物理访问的威胁场景中，仅靠基于固件的缓解措施是不够的，比如恶意内部人员或供应链受损情况。”