50 美元“Battering RAM”可破解机密计算

安全研究人员制造了一款价值 50 美元的设备，能够绕过云环境硬件中使用的英特尔和 AMD 处理器的机密计算防御，从而使攻击者能够破坏旨在保护敏感数据的加密机制。

这种名为“Battering RAM”的攻击可以突破英特尔 SGX 和 AMD SEV-SNP 处理器防御，这些防御“旨在保护敏感工作负载免受受损主机、恶意云提供商或恶意内部人员的侵害”。开发该攻击的鲁汶大学和伯明翰大学/杜伦大学研究人员如此表示。

Battering RAM 攻击原理

商用被动 DRAM 互连器通常成本超过 10 万美元，但研究人员详细介绍了他们如何使用模拟开关开发定制互连器，以操纵处理器和内存之间的信号，成本不到 50 美元。

该印刷电路板采用标准四层设计，可在任何主要 PCB 制造商处制造。互连器的原理图和板文件通过研究团队的 GitHub 仓库开源提供。

Battering RAM 是研究人员之前开发的 BadRAM 攻击的演进版本，同样利用物理地址别名来修改和重放 AMD SEV-SNP 系统上的加密内存。BadRAM 通过引入静态幽灵地址线实现此目的，而 Battering RAM 通过在运行时动态引入内存别名来升级攻击手段。

绕过处理器内存防御

该攻击根据处理器的不同，以略微不同的方式绕过内存保护：

• 英特尔 TME 技术：研究人员解释，用于英特尔可扩展 SGX 的单密钥域，通过互连器诱导的别名实现任意明文访问

• AMD SEV-SNP：通过捕获和重放启动测量值来破坏 SEV 的认证机制

芯片制造商的回应

英特尔和 AMD 都已承认此漏洞，但表示“对 DRAM 的物理攻击不在其当前产品范围内”，因此不会对其处理器技术进行任何更改来缓解潜在攻击。

两家公司还分别发布了关于此攻击的公告，英特尔建议使用“英特尔 TME-MK 的加密完整性保护模式”可提供额外保护，而 AMD 表示不计划发布任何缓解措施，因为报告的漏洞“不在 SEV-SNP 发布威胁模型范围内”。

研究意义

研究人员表示，他们的攻击证明机密计算“并非无懈可击”，防御者应重新评估威胁模型，以更好地理解和准备物理攻击。

“加密内存本身并不能防止物理篡改，”研究人员说，“在涉及有限物理访问的威胁场景中，仅靠基于固件的缓解措施是不够的，比如恶意内部人员或供应链受损情况。”更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享