Des chercheurs cassent les enclaves sécurisées des CPU

Lors du Black Hat Europe de décembre dernier, des chercheurs en sécurité ont montré un scénario d'attaque de type SCM contre des serveurs de confidential computing dans des environnements cloud. Un exploit réussi en s'appuyant sur du matériel peu coûteux.

L'informatique confidentielle, qui s'appuie sur des technologies matérielles comme que Intel SGX (Software Guard Extensions) et AMD SEV (Secure Encrypted Virtualization), promet une isolation forte et un chiffrement transparent de la mémoire. Conçues pour protéger contre les attaquants à haut privilèges et les menaces physiques comme l’usurpation de bus ou bus snooping et les attaques par démarrage à froid, ces enclaves CPU sécurisées sont principalement utilisées dans les environnements cloud pour créer des régions de mémoire protégées qui sont chiffrées et inaccessibles au reste du système. Cependant, des chercheurs en sécurité de l'université KU Leuven en Belgique ont développé un module DDR4 personnalisé et peu coûteux qui ouvre la porte aux attaques de la chaîne d'approvisionnement, même contre des systèmes entièrement patchés.

En décembre dernier, lors d'une présentation à la conférence Black Hat Europe, Jesse De Meulemeester et Jo Van Bulck ont démontré comment ce matériel d'une valeur de 50 dollars permettait de manipuler le mappage des adresses mémoire, trompant ainsi le processeur pour qu'il accorde un accès non autorisé à certaines parties de la mémoire cryptée. Comme le piratage s'effectue au moment de l'exécution, il contourne les récentes mesures de protection du firmware déployées par Intel et AMD en réponse aux précédentes attaques de type « BadRAM » basées sur des logiciels. La dernière attaque, baptisée « Battering RAM », donne un accès arbitraire en lecture/écriture au texte brut et l'extraction de la clé de provisionnement de la plateforme SGX. Les chercheurs ont pu ainsi falsifier des rapports d'attestation et implanter des portes dérobées persistantes sur des machines virtuelles protégées par la solution Secure Encrypted Virtualization (SEV) d’AMD. Les infrastructures cloud qui s'appuient sur la technologie Scalable SGX d'Intel sont également potentiellement vulnérables.

AMD et Intel informés

Les chercheurs ont communiqué leurs conclusions à AMD et Intel avant de dévoiler leurs recherches. Les deux géants des puces électroniques affirment que l'attaque est hors de portée car elle implique une manipulation matérielle. Selon M. De Meulemeester, les modules logiciels et micrologiciels sont actuellement incapables de détecter cette attaque. Par conséquent, si des pirates parvenaient à introduire un module de mémoire compromis dans la chaîne d'approvisionnement, ils pourraient alors mener des attaques malveillantes sur les infrastructures virtuelles vulnérables. Ces recherches remettent en cause les hypothèses fondamentales relatives aux garanties de sécurité de la mémoire chiffrée, tout en soulevant des questions sur les compromis de performances et de sécurité intégrés dans l'architecture des systèmes de cloud confidentiels.

« Pour résoudre complètement le problème, il faudrait réintroduire des protections cryptographiques de fraîcheur et d'intégrité dans la prochaine génération de puces pour serveurs », a expliqué M. De Meulemeester, doctorant en génie électrique spécialisé dans la sécurisation des systèmes informatiques haute performance contre les menaces émergentes.