El miércoles, dos equipos de investigación académica independientes publicaron artículos que describen las vulnerabilidades de Intel. Extensiones de protección de software (SGX).
SGX es un conjunto de instrucciones que mejoran la seguridad de las aplicaciones al permitir que los desarrolladores dividan la información confidencial en enclaves (regiones de ejecución de memoria con seguridad mejorada asistida por hardware). El propósito es proteger el código de la aplicación y los datos para que no se filtren o modifiquen.
Los servicios de atestación permiten a los usuarios verificar la identidad de un enclave de aplicación antes de iniciar la aplicación.
El equipo de investigación dijo que las fallas descubiertas recientemente podrían evitar que SGX logre sus objetivos. SGAxe: cómo falló SGX en la práctica Se describen los compromisos para el almacenamiento a largo plazo. Diafonía: las fugas de datos especulativos entre núcleos son reales Se describen los ataques entre núcleos que podrían permitir a los atacantes controlar la fuga de datos.
Tabla de Contenidos
Confianza rota, código roto
Los investigadores Stephan van Schaik, Andrew Kwong y Daniel Genkin escribieron: «SGAxe desglosa efectivamente la característica más atractiva de SGX, la capacidad de demostrar su confiabilidad en la red en un enclave». Universidad de Michigany el investigador Yuval Yarom de la Universidad de Adelaida.
Los investigadores atacaron un enclave de arquitectura SGX proporcionado y firmado por Intel y recuperaron la clave de autenticación secreta utilizada para probar criptográficamente que el enclave era real a través de la red, lo que les permitió pasar el enclave falso como real.
Los investigadores de CrossTalk descubrieron que algunas instrucciones leen datos de búferes temporales compartidos por todos los núcleos de CPU involucrados. Demostraron el primer ataque entre núcleos mediante la ejecución transitoria y demostraron que podría usarse para atacar un enclave SGX que se ejecuta en un núcleo diferente, lo que permite que un atacante controle la fuga mediante un ataque de degradación del rendimiento real y el descubrimiento de la clave privada del enclave.
«Hemos demostrado que este es un ataque realista», escribieron Hany Ragab, Alyssa Milburn, Herbert Bos y Cristiano Giuffrida de Vrije Universiteit Amsterdam, Holanda, y Kaveh Razavi de ETH Zurich, Suiza.
«También hemos visto nuevamente que es casi trivial aplicar estos ataques para comprometer el código que se ejecuta en el enclave SGX seguro de Intel», agregaron.
Los investigadores construyeron un generador de perfiles llamado «CrossTalk» utilizando contadores de rendimiento para examinar el número y la naturaleza de las instrucciones microcodificadas complejas que ejecutan solicitudes no centrales. Cuando se combinan con vulnerabilidades de ejecución transitorias, como el muestreo de datos de microarquitectura (MDS), estas operaciones pueden revelar el estado interno de la CPU.
«Incluso las CPU Intel recientes, incluidas las utilizadas por los proveedores de nube pública para admitir enclaves SGX, son vulnerables a estos ataques», escribieron los investigadores.
CPU Intel vulnerables al último ataque listado aquí.
diseño defectuoso
En ambos casos, el equipo de investigación contratóataque de canal lateral para explotar la vulnerabilidad.
SGX No protege contra ataques de canal lateral de microarquitectura Porque según Intel, hacerlo depende de los desarrolladores del enclave.
Cuatro fallas de CPU, incluidas Zombieload y Fallout, afectaron a las CPU centrales de Intel el año pasado.
«El diseño de SGX está empezando a verse defectuoso», dijo el analista principal Kevin Krewell. Investigación Tirias.
Intel «realmente necesita repensar su enfoque de la seguridad», dijo a TechNewsWorld. La empresa «ha estado dedicando más recursos a la seguridad, pero el trabajo no ha terminado».
Tal vez la seguridad «debería descargarse en un coprocesador en chip más seguro que no se encuentre en la ruta crítica de rendimiento de la aplicación», comentó Krewell.
Por otro lado, las aplicaciones que usan Intel SGX para protección adicional son «siempre más seguras que si no lo fueran», señaló el CEO de la compañía, Ambuj Kumar. FortanixEn 2016, la primera empresa en poner en producción una carga de trabajo basada en Intel SGX.
La seguridad basada en hardware es nueva, «al igual que el código de software puede tener vulnerabilidades, el hardware puede tener vulnerabilidades», dijo Kumar a TechNewsWorld, «Existen cosas como vulnerabilidades de hardware de día cero. Nuestro objetivo debe ser acelerar el descubrimiento de estos. El ciclo de errores y arreglarlos.”
Además, los canales laterales «son un problema generalizado que afecta a los sistemas de hardware y software», señaló. Algunos solo se pueden mitigar a nivel de la aplicación, otros solo se pueden mitigar a nivel de la CPU, «por lo que no hay una solución».
Control estricto de vulnerabilidades
SGX es numeroso Entorno de ejecución de confianza (Tee). ARM, AMD e Intel han propuesto TEE, pero Intel SGX actualmente lidera.
Intel SGX «ha llamado bastante la atención de los investigadores», lo que llevó al descubrimiento de varias vulnerabilidades, dijo Kumar.
«Deberíamos dar la bienvenida a estos. Solo los errores pueden corregirse», señaló.
Kumar señaló que Intel es «muy cooperativo» en la implementación de actualizaciones para corregir vulnerabilidades y está trabajando en estrecha colaboración con socios como Fortanix para minimizar la probabilidad de un ataque. «No tenemos ninguna razón para creer que se haya explotado alguna vulnerabilidad de Intel SGX que se haya informado».
Microsoft Azure, IBM y Alibaba son algunas de las organizaciones más grandes que utilizan las soluciones basadas en Intel SGX de Fortanix. IBM tiene al menos 10 clientes empresariales en su IBM Cloud Data Shield impulsado por Fortanix, que depende de SGX para la seguridad.
sin daño, sin falta
El equipo de SGAxe notificó a Intel sobre sus hallazgos en octubre, e Intel dijo que publicaría una solución el 9 de junio, lo cual hizo.
Krewell de Tirias sugirió que el retraso podría deberse a las pruebas. «Cada solución puede tener sus propios problemas y puede introducir nuevas vulnerabilidades o incompatibilidades de software».
Los sistemas de actualización de Fortanix y otras compañías «no son susceptibles a estas vulnerabilidades», dijo Kumar.
En una declaración proporcionada a TechNewsWorld por la representante de la compañía, Emily Chounlamany, un portavoz dijo que Microsoft «implementó las actualizaciones de seguridad de Intel en nuestros servicios afectados antes de la divulgación pública».
“Nuestros clientes de la nube no se vieron afectados por estas vulnerabilidades”, agregó el vocero.
Mientras que los fabricantes de CPU se enfocan en encontrar y corregir vulnerabilidades, compañías como Fortanix «existen para mitigar estas vulnerabilidades», dijo Kumar. «Las técnicas estándar, como la defensa en profundidad, pueden proporcionar sistemas más prácticos y seguros, incluso en presencia de vulnerabilidades de día cero».
En general, la seguridad basada en hardware supera a las soluciones basadas en software, observó Kumar. «La desafortunada realidad de la seguridad pura del software es que incluso si su código no tiene errores, sus datos pueden ser robados debido a una vulnerabilidad en el código de otra persona».