Intel SGX e AMD SEV-SNP aggirabili su piattaforme DDR4: bastano 50 dollari di componenti

Un team accademico guidato da ricercatori di KU Leuven e dell'Università di Birmingham ha pubblicato i dettagli di Battering RAM, una tecnica che sfrutta un interposer posto tra CPU e DIMM per introdurre alias dinamici di indirizzi fisici in sistemi DDR4.

Il dispositivo è realizzabile con componentistica di basso costo intorno ai 50 dollari e, secondo gli autori, può bypassare le contromisure a livello di boot e la cifratura di memoria usata nelle tecnologie di confidential computing.

Gli autori sottolineano che l'attacco richiede accesso fisico breve (installazione dell'interposer tra CPU e memoria) e un vettore realistico in scenari cloud (personale interno malevolo, manutentori, manipolazioni nella supply chain).

L'interposer descritto dai ricercatori opera in due fasi: durante l'avvio si comporta in modo trasparente e supera i controlli di integrità impostati dai sistemi moderni; successivamente, attivando un semplice commutatore, redirige dinamicamente alcune linee di indirizzo verso pagine controllate dall'attaccante. Questo permette la cattura e il replay di testo cifrato in DRAM e, in alcuni casi, la trasformazione di tali replay in accessi in chiaro - ovvero lettura/scrittura di plaintext nelle regioni protette.

Gli esperimenti documentati mostrano la fattibilità su due tecnologie diffuse come Intel Scalable SGX e AMD SEV-SNP. L'attacco, al momento, funziona solo su sistemi con DDR4: "Le DDR5 riorganizzano il bus di comando/indirizzo, eliminando la possibilità di aggiungere semplici switch alle linee di indirizzo. Tuttavia, il problema di fondo non è stato risolto, poiché gli attuali motori di crittografia della memoria non forniscono ancora garanzie di freschezza. Un aggressore determinato potrebbe teoricamente progettare interposer più avanzati per eseguire attacchi simili sulle DDR5".  

Secondo gli autori, non è possibile mitigare completamente Battering RAM con patch software o firmware: l'attacco è un compromesso della catena fisica e richiederebbe riforme architetturali nella cifratura della memoria.

Intel e AMD sono state informate della ricerca a febbraio 2025; a seguito dell'embargo gli autori segnalano che entrambe le aziende hanno riconosciuto il lavoro e sono stati pubblicati bollettini pubblici nella giornata di ieri (qui e qui).

A detta degli autori dell'attacco, gli operatori cloud e i team di sicurezza dovrebbero:

• rivalutare i threat model includendo attori con accesso fisico limitato
• rafforzare procedure fisiche e controlli di integrazione hardware nella supply chain
• considerare misure a livello architetturale per garantire freshness su memorie cifrate, quando possibile
• applicare controlli di tamper fisico e logging di manutenzione su rack e server che gestiscono carichi confidenziali