VoltPillager打破了芯片安全区域的机密性,防止有人搞破坏的承诺因此受到了质疑。
英国伯明翰大学的研究人员已想出了另一种方法来破坏英特尔的软件保护扩展(SGX)安全区域(enclave)的机密性,这种安全区域被认为是确保敏感计算的“安全室”。在过去这几年,信息安全人员一再攻击SGX的安全性,SGX是用于建立所谓的安全区域的一组注重安全的指令。这种区域旨在容纳就连计算机的管理员、操作系统、应用程序、用户和所有者都无法访问的软件和数据:我们在谈论的是反盗版(又名DRM措施)之类的对加密媒体流进行解码的软件,以及云服务器中的敏感密码。这些安全区域本该确保任何人都无法窥视代码和信息,无论系统在人们的卧室还是在云环境中运行。2016年安全区域的可靠性遭到怀疑后,一年后发生了Prime+Probe和Rowhammer攻击,这些攻击突破了SGX的保护。后来在2018年出现了Spectre以及随后的一系列其他攻击手法,它们突破了安全区域的保护。伯明翰大学的几位研究人员已对其中一些人在去年帮助开发的一种攻击Plundervolt做了变动,这些计算机科学家包括Zitai Chen、Georgios Vasilakis、Kit Murdock、Edward Dean、David Oswald和Flavio D. Garcia。Plundervolt是一种基于软件的攻击,针对运行SGX安全区域的近期英特尔处理器。这种攻击可降低电压以引发故障或错误,从而得以恢复诸如加密密钥之类的秘密信息。去年12月攻击披露后,英特尔通过微代码和BIOS更新去除了降低处理器电压的功能,从而缓解了该漏洞。
现在,研究人员已经用硬件实施了类似的攻击,使用现成电子设备,价值大概36美元:
材料清单如下:
他们计划在明年的Usenix Security 2021大会上提交描述其工作原理的论文:
按照传统的漏洞命名习惯,他们的攻击手法名为VotPillager,可适用于SGX系统,甚至那些已获得英特尔Plundervolt补丁(CVE-2019-11157)的系统。具体手法是,将信息注入到CPU与稳压器之间的串行电压识别(SVI)总线上,以便控制CPU核心中的电压。这不是远程攻击,因此不是引起系统管理员或用户拼命修补易受攻击的系统的那种问题。它需要物理访问服务器,即打开服务器以连接恶意电路板,因此这主要是针对多租户计算场景的威胁。不过SGX的一半目的是,当服务器够不着、进入到别人的数据中心(比如云提供商的数据中心)时,保护敏感代码和数据免受流氓服务器管理员的攻击,不过云提供商处能物理访问服务器的人员可以对英特尔处理器做手脚以突破其SGX保护。伯明翰大学安全与隐私小组的讲师、论文的合著者之一David Oswald称:“这种攻击事关重大,因为英特尔常常声称SGX可以抵御恶意的内部人员/云提供商。”Oswald提到了英特尔对运行在搭载SGX的英特尔至强E处理器上的Microsoft Azure DCsv2系列虚拟机提出的说法:“连可以物理访问服务器的云管理员和数据中心操作员也无法访问受英特尔SGX保护的数据。”他说:“我们证明了情况并非如此;也就是说,用很低的成本(约36美元)就可以对SGX发动物理攻击。而且与以前的SGX攻击相反,我们的攻击手法不容易被修补(比如用微代码)。”论文探讨了可能的缓解措施,比如为SVID协议添加加密身份验证、让CPU监测SVID总线以查找是否有注入的数据包,以及在安全区域代码中采取对策。不过论文声称,这些措施都似乎不是特别有希望。基于硬件的缓解措施(比如智能卡中的电压监控电路)是一种可行的方法,但是论文特别指出,这将需要改变芯片设计,因而会带来开销。看来英特尔连尝试都不做一下。研究人员在三月份向英特尔披露了该攻击,被告知“打开机箱,对内部硬件做手脚以危害SGX不在SGX威胁模型的范围内。按照威胁模型,CVE-2019-11157(Plundervolt)的补丁并非旨在防范基于硬件的攻击。”如此一来,对于微软Azure来说,这就是全部的承诺。英特尔发言人称:“要求攻击者以物理方式打开机箱的手法(包括拆掉螺丝或弄破料外壳以访问设备的内部硬件)通常不予解决,这不是漏洞。与往常一样,我们建议使系统保持最新状态,并保持实际拥有设备。”如果可以将数据中心放在口袋中,那么该建议将更有意义。不论好坏,我们建议不要这样做:一段时间后,热量变得难以承受。并非只有英特尔这一家公司面临VoltPillager带来的挑战。研究人员并没有尝试攻击其他厂商的处理器,不过他们在论文中特别指出,AMD依赖一种类似的处理器设计,其中包括通过SVI总线连接至CPU的稳压器。研究人员得出结论,根据他们的发现,依靠第三方和安全区域来保护计机密内容可能是不明智的。论文总结道:“本论文的结果以及制造商决定不缓解这种类型的攻击,促使我们重新考虑人们普遍认为的安全区域可兑现将敏感计算托付给不可信任的远程平台这一承诺是否仍然切实可行。”
