Взлом Intel, AMD и Nvidia за 3 минуты — нужно лишь одно устройство из чемодана за $1000

Новые исследования показали, что даже самые современные технологии аппаратной изоляции данных от ведущих производителей чипов — Nvidia Confidential Compute, AMD SEV-SNP и Intel SGX/TDX — не выдерживают недорогих физических атак. Эти механизмы, известные как доверенные среды исполнения (Trusted Execution Environments, TEE), давно считаются базой конфиденциальных вычислений в облаках, блокчейнах, ИИ-инфраструктуре и государственных системах. Их главная цель — сохранить невидимость и неизменность кода и данных даже при полном компрометации операционной системы. Однако новая волна атак, в том числе опубликованная на этой неделе под названием TEE.fail, ставит под сомнение саму идею аппаратного доверия.

Исследователи установили, что уязвимость позволяет за три минуты полностью обойти защиту всех актуальных TEE, используя простейшее устройство, вставляемое между слотом оперативной памяти и материнской платой. После установки этого промежуточного модуля и захвата ядра ОС защита Confidential Compute, SEV-SNP и Intel TDX становится бесполезной. В отличие от более ранних атак Battering RAM и Wiretap, работавших только с DDR4, новый метод поражает системы с DDR5-памятью, а значит — затрагивает последние поколения серверных процессоров и графических ускорителей.

Формально физические атаки не входят в модель угроз ни одной из трёх компаний, но пользователи этих технологий часто об этом не знают. Производители публично заявляют, что TEE защищает данные даже при физическом доступе к серверу, и на этих обещаниях строят маркетинг крупные платформы — от Cloudflare и Meta* до Signal и Anthropic. Многие из них в своих публикациях утверждали, что анклавы способны предотвращать кражу данных в случае похищения оборудования. В реальности же AMD, Intel и Nvidia прямо исключают подобные сценарии из гарантий безопасности.

В RunZero назвали ситуацию типичной иллюзией безопасности: бизнес продолжает использовать TEE как панацею, хотя физические атаки с каждым годом становятся дешевле. Компания отмечает, что пользователи облачных решений не имеют ни способа проверить, где именно размещён их сервер, ни уверенности, что оборудование не находится под контролем злоумышленников. Исследователь Дэниэл Генкин, участвовавший в проектах TEE.fail и Wiretap, добавил, что клиент не может даже убедиться, что сервер располагается в защищённом центре, а не в «чужом подвале».

Ранее аналогичные уязвимости уже позволяли взламывать блокчейн-сервисы Secret Network и Crust. Там атаки делали возможным подмену криптографических аттестаций, из-за чего злоумышленник мог утверждать, что его узел работает в доверенной среде, хотя на деле вычисления шли вне анклава. В результате данные можно было читать или изменять, сохраняя иллюзию защиты.

Главная техническая причина всех трёх атак — использование детерминированного шифрования, при котором одинаковый исходный блок данных всегда превращается в одинаковый шифротекст. Это позволяет копировать и переиспользовать зашифрованные фрагменты, организуя так называемые повторные атаки. Более безопасное вероятностное шифрование для серверных TEE оказалось непрактичным из-за потери производительности: на серверах приходится шифровать терабайты оперативной памяти, а не сотни мегабайт, как на пользовательских ПК.

С помощью TEE.fail исследователи смогли извлечь ключи аттестации из процессоров Intel, что позволило им подделывать криптографические доказательства «надёжности» серверов. Аналогичным образом они обошли защиту Nvidia Confidential Compute, которая не связывает отчёты об аттестации с конкретной виртуальной машиной и видеокартой. Это позволило выдавать поддельные GPU-сервера за защищённые, хотя все данные на них обрабатывались в открытом виде. В случае AMD SEV-SNP атака вновь открыла канал утечки, через который можно было получить ключи OpenSSL и другие секреты.

Оборудование, использованное для атаки, стоит менее $1000 и помещается в обычный чемодан шириной 17 дюймов. После вмешательства устройство можно отключить — TEE-защита уже не восстанавливается. На демонстрации TEE.fail успешно обманула инфраструктуры BuilderNet, dstack и Secret Network, подтвердив возможность подмены транзакций и кражи конфиденциальных данных даже в системах, где доверие к анклавам лежит в основе архитектуры.

Исследователи предлагают временные меры: добавлять случайные данные к каждому блоку памяти перед шифрованием и привязывать аттестацию к физическому местоположению сервера. Однако даже эти шаги не решают фундаментальную проблему — несоответствие между заявленными и реальными гарантиями безопасности.

Nvidia заявила, что знает о работе и готовит дополнительные отчеты после официального выхода исследования. Intel подчеркнула [1,2], что физические атаки на память остаются за рамками её модели угроз, поскольку усиленная защита приводит к росту стоимости владения и снижению производительности.

Пока что TEE.fail, Wiretap и Battering RAM остаются реальной опасностью для всех, кто полагается на стандартные реализации аппаратных анклавов. Единственная надёжная стратегия — трезво оценивать их ограничения и не использовать TEEs в сценариях, где возможен физический доступ к серверу. Как отмечает Мур, крупные провайдеры вроде AWS и Google спасаются кастомными решениями уровня Nitro Card и Titanium, а для всех остальных анклав остаётся лишь временным компромиссом — «пластырем» на фундаментальную уязвимость аппаратного доверия.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.