AMDIntel

Intel SGX e AMD SEV-SNP aggirabili su piattaforme DDR4: bastano 50 dollari di componenti

di pubblicata il , alle 12:01 nel canale Security Intel SGX e AMD SEV-SNP aggirabili su piattaforme DDR4: bastano 50 dollari di componenti

Ricercatori di KU Leuven e University of Birmingham hanno dimostrato Battering RAM, un attacco hardware su DDR4 che, tramite un interposer da circa 50 dollari, permette di violare le enclavi sicure Intel SGX e AMD SEV-SNP.

 

Un team accademico guidato da ricercatori di KU Leuven e dell'Università di Birmingham ha pubblicato i dettagli di Battering RAM, una tecnica che sfrutta un interposer posto tra CPU e DIMM per introdurre alias dinamici di indirizzi fisici in sistemi DDR4.

Il dispositivo è realizzabile con componentistica di basso costo intorno ai 50 dollari e, secondo gli autori, può bypassare le contromisure a livello di boot e la cifratura di memoria usata nelle tecnologie di confidential computing.

Gli autori sottolineano che l'attacco richiede accesso fisico breve (installazione dell'interposer tra CPU e memoria) e un vettore realistico in scenari cloud (personale interno malevolo, manutentori, manipolazioni nella supply chain).

L'interposer descritto dai ricercatori opera in due fasi: durante l'avvio si comporta in modo trasparente e supera i controlli di integrità impostati dai sistemi moderni; successivamente, attivando un semplice commutatore, redirige dinamicamente alcune linee di indirizzo verso pagine controllate dall'attaccante. Questo permette la cattura e il replay di testo cifrato in DRAM e, in alcuni casi, la trasformazione di tali replay in accessi in chiaro - ovvero lettura/scrittura di plaintext nelle regioni protette.

Gli esperimenti documentati mostrano la fattibilità su due tecnologie diffuse come Intel Scalable SGX e AMD SEV-SNP. L'attacco, al momento, funziona solo su sistemi con DDR4: "Le DDR5 riorganizzano il bus di comando/indirizzo, eliminando la possibilità di aggiungere semplici switch alle linee di indirizzo. Tuttavia, il problema di fondo non è stato risolto, poiché gli attuali motori di crittografia della memoria non forniscono ancora garanzie di freschezza. Un aggressore determinato potrebbe teoricamente progettare interposer più avanzati per eseguire attacchi simili sulle DDR5".  

Secondo gli autori, non è possibile mitigare completamente Battering RAM con patch software o firmware: l'attacco è un compromesso della catena fisica e richiederebbe riforme architetturali nella cifratura della memoria.

Intel e AMD sono state informate della ricerca a febbraio 2025; a seguito dell'embargo gli autori segnalano che entrambe le aziende hanno riconosciuto il lavoro e sono stati pubblicati bollettini pubblici nella giornata di ieri (qui e qui).

A detta degli autori dell'attacco, gli operatori cloud e i team di sicurezza dovrebbero:

  • rivalutare i threat model includendo attori con accesso fisico limitato
  • rafforzare procedure fisiche e controlli di integrazione hardware nella supply chain
  • considerare misure a livello architetturale per garantire freshness su memorie cifrate, quando possibile
  • applicare controlli di tamper fisico e logging di manutenzione su rack e server che gestiscono carichi confidenziali
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
supertigrotto01 Ottobre 2025, 12:42 #1
In pratica funziona solo se puoi mettere le mani fisicamente sul sistema,a questo punto se sì può mettere le mani sul sistema si può fare un po' quel che si vuole,ad esempio modificare porte USB,porte ethernet e via dicendo
pachainti01 Ottobre 2025, 15:03 #2
Nel caso di sistemi in cloud è un grande difetto, occorre fidarsi del gestore del cloud anche in presenza di crittografia e2e...
CrapaDiLegno01 Ottobre 2025, 17:30 #3
Originariamente inviato da: pachainti
Nel caso di sistemi in cloud è un grande difetto, occorre fidarsi del gestore del cloud anche in presenza di crittografia e2e...


Ma vale per qualsiasi componente. Se metto uno monitor sulla scheda di rete allora possono guardare tutto ciò che entra ed esce e fare tutte le malefatte possibili di un man in the middle.
E' impossibile tutelarsi con protezioni se l'attaccante ha la possibilità di compromettere la parte fisica. Potrebbe benissimo staccare e rimettere un chip BIOS fatto ad hoc che bypassa qualsiasi controllo se per quello o sostituire il modulo TPM per rubare le credenziali crittografiche.
pachainti01 Ottobre 2025, 21:38 #4
Originariamente inviato da: CrapaDiLegno
Ma vale per qualsiasi componente. Se metto uno monitor sulla scheda di rete allora possono guardare tutto ciò che entra ed esce e fare tutte le malefatte possibili di un man in the middle.
E' impossibile tutelarsi con protezioni se l'attaccante ha la possibilità di compromettere la parte fisica. Potrebbe benissimo staccare e rimettere un chip BIOS fatto ad hoc che bypassa qualsiasi controllo se per quello o sostituire il modulo TPM per rubare le credenziali crittografiche.


Se i dati sono cifrati, il monitor non serve a nulla. Se invece puoi bypassare le protezioni è come non averle. La sicurezza basata sui TEE è completamente fallata.
Concordo, infatti mai fidarsi dei servizi basati su cloud di terze parti, poiché oltre allo sviluppatore del servizio occorre fidarsi anche del gestore del cloud.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^