Offentliga molntjänster använder speciella säkerhetstekniker. Datavetare vid ETH Zürich har nu upptäckt en lucka i de senaste säkerhetsmekanismerna som används av AMD- och Intel-chip. Detta påverkar stora molnleverantörer.
Under de senaste åren har hårdvarutillverkare utvecklat teknik som ska göra det möjligt för företag och myndigheter att behandla känsliga data på ett säkert sätt med hjälp av delade dataresurser i molnet.
Denna metod, som kallas confidential computing, skyddar känslig data medan den bearbetas genom att isolera den i ett område som är ogenomträngligt för andra användare och till och med för molnleverantören. Men datavetare vid ETH Zürich har nu bevisat att det är möjligt för hackare att få tillgång till dessa system och till de data som lagras i dem.
Forskarna körde två attackscenarier, båda med hjälp av den så kallade avbrottsmekanismen, som tillfälligt avbryter den vanliga bearbetningen – till exempel för att prioritera en annan datoruppgift. Det finns totalt 256 olika avbrott och vart och ett av dem utlöser en specifik sekvens av programmeringskommandon.
”Avbrott är ett marginellt problem, och det verkar som om man helt enkelt har förbisett att säkerställa att de har systematiska skyddsåtgärder på plats”, säger Shweta Shinde, professor i datavetenskap vid ETH Zürich. Tillsammans med sin Secure & Trustworthy Systems Group har Shinde identifierat de problematiska sårbarheterna i serverhårdvara som används av två ledande tillverkare av datachip, AMD och Intel.
Forskningen kommer att presenteras vid 45th IEEE Symposium on Security and Privacy (IEEE S&P), 20-23 maj 2024, och vid 33rd USENIX Security Symposium (USENIX Security), 14-16 augusti 2024. Båda artiklarna finns också tillgängliga på arXivs preprint-server.
Avlyssningssäker smartphone-projekt hjälper till att hitta luckorna
Shindes team upptäckte säkerhetsluckorna när de undersökte den konfidentiella databehandlingsteknik som används i AMD:s och Intels processorer. Forskarna ville få en djupgående förståelse för hur dessa processorer fungerar eftersom de arbetar med en avlyssningssäker smartphone baserad på konfidentiell databehandling.
Kärnan i konfidentiell databehandling är den betrodda exekveringsmiljön (TEE). TEE är en hårdvarubaserad komponent som isolerar applikationer medan de körs. Åtkomst till applikationsminnet är då endast möjlig med en auktoriserad kod.
Detta innebär att data också är skyddade från obehörig åtkomst medan de lagras okrypterade i arbetsminnet under bearbetning. Tidigare var det enda sättet att säkerställa ett sådant skydd att kryptera data när de lagrades på hårddisken och under överföringen.
Instabilitetsfaktor nummer ett: Hypervisorer
I det publika molnet isoleras applikationer med hjälp av en TEE, särskilt från det som kallas en hypervisor. Molnleverantörer använder hypervisorprogramvara för att hantera resurser, allt från hårdvarukomponenter till kundernas virtuella servrar. Hypervisorer är en viktig del av molntjänsterna eftersom de skapar den flexibilitet, effektivitet och säkerhet som krävs.
Förutom att hantera och optimera hur den underliggande hårdvaran används, ser de till att olika användare kan arbeta säkert i separata områden i samma moln utan att störa varandra. Men de administrativa funktioner som hypervisorer utför är också en instabilitetsfaktor eftersom de öppnar upp för en mängd olika attacker.
Under vissa förhållanden kan dessa attacker göra det möjligt att komma åt data som lagrats i minnet hos andra aktiva molnanvändare som arbetar med samma hårdvara. Dessutom kan molnleverantörer också använda hypervisorer för att själva ta en titt på användarnas data.
Båda dessa risker är oacceptabla för företag och statliga organisationer som behandlar känsliga uppgifter. I en expertrapport sammanställd av det schweiziska förbundsrådet, som undersökte den rättsliga ramen för genomförandet av Schweiz molnstrategi, bedömdes obehörig åtkomst till vad som kallas ”data i bruk” som den mest sannolika risken i samband med användning av ett publikt moln.
Det är omöjligt att helt isolera hypervisorn
Det finns dock grundläggande begränsningar för hur väl ett användarsystem kan isoleras och skyddas från hypervisorn. En viss kommunikation måste trots allt ske mellan de två, och som ett administrativt verktyg måste hypervisorn fortfarande kunna utföra sina kärnuppgifter. Det handlar bland annat om att fördela molnresurser och hantera den virtuella server som kör det säkrade systemet i molnet.
Ett av de återstående gränssnitten mellan hypervisor och TEE gäller hanteringen av avbrott. ETH-teamet lanserade så kallade Ahoi-attacker för att utnyttja hypervisorn som ett sätt att när som helst skicka koordinerade avbrott till det säkrade systemet.
Detta avslöjar säkerhetsbristen: istället för att blockera begäran från den opålitliga hypervisorn släpper TEE igenom vissa avbrott. Systemet är omedvetet om att dessa avbrott kommer utifrån och kör sina vanliga programmeringsrutiner.
Interrupt heckles sätter säkerheten ur spel
Genom att skicka koordinerade avbrott lyckades ETH-forskarna förvirra ett TEE-säkrat system så effektivt att de kunde få root-åtkomst – med andra ord ta full kontroll. ”Mest drabbat av det här problemet var AMD:s konfidentiella datorsystem, som visade sig vara sårbart för attacker från flera olika avbrott. När det gäller Intel hade bara en avbrottsdörr lämnats öppen”, säger Shinde när hon sammanfattar resultaten av sin ”Heckler-attack”.
Forskarna bedömde också AMD:s tidigare försvarsmetoder som otillräckliga. Chiptillverkarna har sedan dess vidtagit åtgärder för att ta itu med detta.
Det andra angreppsscenariot, som kallas WeSee, påverkar endast AMD:s hårdvara. Det utnyttjar en mekanism som chiptillverkaren införde för att underlätta kommunikationen mellan TEE och hypervisor trots isolering. I det här fallet kan ett speciellt avbrott få det säkrade systemet att avslöja känsliga data och till och med köra externa program.
Biprodukt på vägen mot användarkontroll av telefoner
Hur viktigt det än är att hitta luckor i säkerheten för känsliga data som lagras i det publika molnet, så var detta för Shinde och hennes forskargrupp bara en biprodukt på vägen mot att säkerställa att användare av iPhone och Android-smartphones behåller full kontroll över sina data och applikationer.
En specialdesignad TEE gör mer än att se till att användardata skyddas från avlyssning av tillverkarens operativsystem. ”Vi vill också att vår TEE ska stödja oövervakad drift av de appar som inte hanteras av Apple eller Google”, säger Shinde.
Ytterligare information: Benedict Schlüter et al, WeSee: Using Malicious #VC Interrupts to Break AMD SEV-SNP, arXiv (2024). DOI: 10.48550/arxiv.2404.03526
Benedict Schlüter et al, Heckler: Breaking Confidential VMs with Malicious Interrupts, arXiv (2024). DOI: 10.48550/arxiv.2404.03387
