TEE.fail è l'attacco che scardina in tre minuti le enclavi di sicurezza di Intel, AMD e NVIDIA

I Trusted Execution Environments (TEE) sono ormai diffusi in tutte le principali architetture cloud, blockchain e nei sistemi che gestiscono dati sensibili per l'intelligenza artificiale, le applicazioni militari e la finanza. Intel, AMD e NVIDIA ne fanno il perno della loro proposta di sicurezza con nomi come SGX e TDX (Intel), SEV-SNP (AMD) e Confidential Compute (NVIDIA), allo scopo di garantire che anche in caso di compromissione del kernel, i dati non possano essere alterati o visualizzati.

Nei giorni scorsi è stata però divulgata una serie di informazioni nate da un'attività di ricerca nel campo della sicurezza che ha evidenziato la possibilità di condurre attacchi, che sono stati battezzati TEE.fail, in grado di scardinare le difese TEE di ciascuna delle tre società.

Si tratta di attacchi "fisici", che quindi richiedono un accesso diretto alle macchine: è necessario inserire un piccolo dispositivo hardware tra un modulo di memoria DDR5 e la scheda madre, e ottenere inoltre l'accesso al kernel del sistema operativo. In pochissimi minuti è possibile violare le protezioni Confidential Compute, SEV-SNP e TDX/SGX.

Il proof-of-concept realizzato dai ricercatori fa uso di un dispositivo hardware dal costo inferiore ai mille dollari, costruibile con componentistica di largo consumo e trasportabile in una comune valigetta, che permette di intercettare tutto il traffico di memoria tra CPU e DRAM DDR5 di server recenti, bypassando le protezioni crittografiche offerte dalle misure TEE di nuova generazione. Il dispositivo non modifica il traffico, ma si limita a registrare e analizzare tutte le operazioni, anche se cifrate, tra CPU e moduli DRAM. Questo genere di attacchi è attualmente considerato “fuori portata” dai produttori: sia Intel che AMD non prevedono aggiornamenti firmware per mitigare il rischio, suggerendo solo il rafforzamento della sicurezza fisica nei data center.

Il cuore del problema è l'uso della crittografia deterministica, impiegata nei TEE per motivi di efficienza. Questo approccio produce lo stesso testo cifrato per una data combinazione di chiave e testo in chiaro, consentendo agli aggressori di sfruttare attacchi di tipo replay o di correlare dati sensibili. Il dispositivo permette, analizzando il traffico in transito, di estrarre le chiavi di attestazione crittografiche direttamente dalla memoria, incluse le chiavi ECDSA usate dalla Provisioning Certification Enclave (PCE) di Intel e le chiavi di sicurezza delle CVM di AMD. In alcuni casi è stato possibile forzare rapporti di attestazione, rendendo impossibile distinguere tra VM realmente protette e VM in chiaro, anche su sistemi pienamente aggiornati e formalmente "trusted" da Intel. L'attacco non si limita alle CPU: copiando le chiavi di attestazione, viene compromessa anche la sicurezza delle GPU NVIDIA, permettendo l'esecuzione non protetta di workload AI pur continuando a presentare attestati hardware apparentemente validi.

La vera gravità della vulnerabilità sta pertanto nella possibilità di falsificare la catena di fiducia che fonda tutti i servizi cloud basati su TEE: il controllo su chiavi di attestazione originali permette agli attaccanti di eseguire codice e gestire dati senza alcuna protezione reale, presentando agli utenti risultati conformi a tutte le verifiche formali. Il problema si aggrava laddove servizi e piattaforme automatizzate accettano ciecamente rapporti di attestazione come garanzia di sicurezza.

Gli esperimenti condotti dai ricercatori hanno coinvolto diverse piattaforme reali, tra cui BuilderNet (rete Ethereum che utilizza TDX per garantire equità nella validazione dei blocchi), dstack (strumento di calcolo riservato basato su NVIDIA) e Secret Network (blockchain con smart contract cifrati tramite SGX). In ciascun caso i ricercatori hanno dimostrato la possibilità di manipolare attestazioni, decifrare dati o impersonare i nodi di rete. Sebbene alcune piattaforme abbiano introdotto mitigazioni, come liste di nodi fidati o controlli aggiuntivi, le vulnerabilità dimostrano che l'intero ecosistema TEE è più fragile di quanto si credesse.

I ricercatori sottolineano come l'unica contromisura oggi percorribile sia migliorare la sorveglianza e il controllo fisico degli ambienti in cui sono impiegati server TEE-based, anche utilizzando telecamere di sicurezza o segregazione dei rack. Alcune contromisure software potrebbero mitigare la criticità della cifratura deterministica, ma vengono considerate costose e comunque difficilmente implementabili in maniera efficace su ampia scala. Secondo quanto indicato dai ricercatori, al momento non sono noti casi di exploit nel mondo reale, ma la semplicità di implementazione e il basso costo del dispositivo mettono concretamente a rischio la fiducia nell'intera infrastruttura di confidential computing su cui si basa il cloud e parte rilevante della sicurezza blockchain, IA e servizi crittografati.

Come dicevamo, tutti e tre i produttori escludono gli attacchi fisici dai propri modelli di minaccia ufficiali, ma raramente ciò viene esplicitato in modo chiaro. Molti fornitori, come Cloudflare, Anthropic, Meta e Signal, continuano a promuovere le TEE come garanzia di protezione persino contro chi abbia accesso fisico ai server, un'affermazione che la nuova ricerca considera fuorviante. L'uso improprio delle TEE nei contesti edge o cloud, dove l'hardware può essere fisicamente raggiungibile, amplifica il rischio di compromissione.

La conclusione dei ricercatori è che TEE.fail dimostra che le implementazioni di default dei TEE non possono essere considerate sicure in ambienti dove è possibile l'accesso fisico. Le grandi piattaforme cloud come Amazon e Google possono mitigare il rischio con soluzioni personalizzate, come AWS Nitro o Google Titanium, ma per le imprese che si affidano esclusivamente ai TEE di base, la protezione rimane insufficiente, specialmente in quei contesti in cui la sicurezza fisica delle macchine è affrontata senza il giusto grado di attenzione.

All'inizio del mese un altro team di ricercatori aveva mostrato l'attacco "Battering RAM", concettualmente simile a TEE.fail ma diretto contro le memorie DDR4.