Sicherheitslücke: Mit Hardware für 30 Dollar Intels sichere Enklave geknackt

Auf die Berechnungen und Daten in Intels Enklave SGX soll eigentlich niemand zugreifen können, nicht einmal die Rechenzentrumsmitarbeiter mit physischem Zugang. Nach mehreren Softwareangriffen auf SGX ist es nun einem Forscherteam an der Universität Birmingham in Großbritannien gelungen, einen physischen Angriff auf die Enklave durchzuführen - mit handelsüblicher Hardware für 30 US-Dollar.

In Enklaven wie SGX sollen Software ausgeführt und Daten verarbeitet werden, auf die weder Admins, das Betriebssystem oder Eindringlinge zugreifen können. Benutzt wird es beispielsweise für kryptografische Berechnungen aber auch für DRM-Maßnahmen (Digital Rights Management) oder für den Abgleich der gehashten Telefonnummern des Messengers Signal oder dessen PIN.

Dass SGX vor allem in den Werbeaussagen von Intel sicher ist, haben die vielfältigen Angriffe der letzten Jahre gezeigt. Immer wieder musste Intel Sicherheitslücken patchen. Erst vor wenigen Tagen wurde die Sicherheitslücke Platypus (CVE-2020-8694, CVE-2020-8695) veröffentlicht, die auf eine alte Angriffsmethode aufsetzt und minimale Unterschiede in der Leistungsaufnahme von CPUs, um geheimes Schlüsselmaterial aus der CPU auszuleiten.

Hardwarebasiert RSA-Schlüssel auslesen

Das Forscherteam der Universität Birmingham baut bei ihrem Angriff auf Plundervolt (CVE-2019-11157) auf, bei dem einige aus dem Team im letzten Jahr mitgearbeitet haben. Wie bei dem ursprünglichen Angriff wird die Spannung gesenkt, um Störungen und Fehler zu induzieren, die eine Wiederherstellung von Geheimnissen ermöglichen. Das Forscherteam konnte auf diese Weise einen RSA-Schlüssel aus der Enklave auslesen, erklären sie in ihrem Paper (PDF).

Im Unterschied zu dem ursprünglichen Angriff jedoch nicht software-, sondern hardwarebasiert. Entsprechend werden auch die Bios- und Mikrocode-Updates von Intel umgangen, mit denen Intel die Schwachstelle abzumildern versucht hat, indem es die Reduzierung der Prozessorspannung abgeschafft hat.

Mit ihrem Voltpillager genannten Angriff injiziert das Forscherteam Werte auf dem Serial Voltage Identification-Bus zwischen der CPU und dem Spannungsregler, um die Spannung im CPU-Kern zu kontrollieren. Das Forscherteam zeige, dass ein solcher Angriff zu sehr geringen Kosten von etwa 30 US-Dollar durchführbar ist, sagte David Oswald, einer der beteiligten Forscher, dem Onlinemagazin The Register. "Und im Gegensatz zu früheren SGX-Angriffen können unsere Ergebnisse nicht einfach gepatcht werden (z.B. in Mikrocode)."

Keine Lösung in Sicht

Bereits im März hatte das Team seine Forschungsergebnisse mit Intel geteilt und mitgeteilt bekommen, dass "das Öffnen des Gehäuses und die Manipulation der internen Hardware, um SGX zu kompromittieren, für das SGX-Bedrohungsmodell nicht in Frage kommt. Patches für CVE-2019-11157 (Plundervolt) waren gemäß dem Bedrohungsmodell nicht dazu gedacht, vor hardwarebasierten Angriffen zu schützen". Allerdings bewirbt Intel SGX im Rahmen von Azure damit, dass selbst der Rechenzentrumsbetreiber mit physischem Zugang zu den Servern nicht auf die Inhalte in SGX zugreifen kann.