安全研究人员发布论文披露Battering RAM攻击,示范只要一块成本约50美元的定制内存界面板,就能在Intel Scalable SGX与AMD SEV-SNP这两种主流机密运算技术上,绕过内存加密与开机验证,在SGX上取得受保护内存的任意明文读写能力,并在SEV-SNP上破坏验证机制(Attestation),直接动摇公有云机密运算宣称连云计算运营商都看不到数据内容的安全前提。研究团队更指出,这类攻击无法靠软件或固件更新轻易修补。
Battering RAM研究团队在处理器与DDR4 DRAM之间插入一块自制中介层(Interposer)电路板,平常在开机阶段不干扰正常开机流程,让平台的信任开机与内存检查全部通过,待系统进入正常运行后,再切换成恶意模式,悄悄把受保护地址导向攻击者控制的区域,进行密文重播(Ciphertext Replay)与篡改。
Battering RAM研究团队在处理器与DDR4 DRAM之间插入自制中介层(Interposer)电路板,手法是利用中介层在系统运行阶段动态改写内存地址映射,制造看似正常却指向错误实体位置的内存地址别名。中介层在开机时不会干扰任何流程,使平台的信任开机与内存检查顺利通过,待系统进入正常运行后,才切换成攻击模式,把原本受保护的地址悄悄导向攻击者控制的区域,进行密文重播(Ciphertext Replay)与内容篡改。
Battering RAM特别强调其攻击条件与成本落在实务可行范围内,攻击者只需单次短暂实体接触,在服务器主板与内存模块之间插入中介层即可,不需要昂贵的高频测量仪器,也不依赖时序干扰或不稳定的微架构行为。Battering RAM针对对象以采用DDR4的云计算与托管环境为主,尤其是执行机密运算工作负载的公有云数据中心,潜在攻击者包括有权限进出机房的云计算员工、运维或清洁人员,甚至是硬件运送与制造过程中的供应链污染。
该研究点出的关键在于,目前可扩展内存加密方案大多只针对被动窥探威胁设计,同一实体地址上的相同明文,对应到固定密文,有助于抵御冷开机之类直接读取内存内容的攻击,却没有导入新鲜度验证。
Intel SGX与AMD SEV-SNP已被多家主流公有云供应商采用,提供机密运算服务,并被用在通信、浏览器与医疗等领域的实际应用。Battering RAM研究团队指出,英特尔与AMD都已确认这项发现,但Battering RAM的攻击面位于处理器与DRAM之间的实体总线,对现有平台而言,单靠固件或操作系统更新无法完全封堵,要从根本解决,恐怕得在下时代的内存加密设计中,引入对重播与别名式攻击更强的防护机制。
