Selon des chercheurs de Georgia Tech, Purdue University et van Schaik, LLC (papier de recherche « TEE.fail »), une nouvelle technique d’interposition sur le bus mémoire DDR5 permet de casser les garanties de confidentialité et d’intégrité de TEEs modernes (Intel SGX/TDX, AMD SEV‑SNP), y compris sur des machines en statut d’attestation « UpToDate ».

Les auteurs construisent un interposeur DDR5 à budget hobbyiste (moins de 1 000 $) et démontrent que l’encryption mémoire déterministe (AES‑XTS) sur serveurs (sans Merkle tree ni protections anti‑rejeu) ré‑expose des attaques par observation de chiffrements répétables. Ils montrent comment contrôler l’exécution d’enclaves/TDs (canal contrôlé, thrashing cache, mappage physique via ADXL) et synchroniser la capture de transactions DRAM pour reconstruire des secrets.

Impact majeur sur l’attestation Intel: en observant des opérations ECDSA du Provisioning Certification Enclave (PCE), ils extraient une Provisioning Certification Key (PCK) depuis des machines Xeon/TDX en statut « fully trusted UpToDate », puis forgent des quotes SGX/TDX entièrement valides. Cela permet de signer des rapports arbitraires sans protections TEE, « cassant » l’attestation de bout en bout. Ils appliquent cet effet de levier à des déploiements réels :

  • BuilderNet (écosystème Ethereum): contournement de l’attestation Azure TDX (forgery TPM+TDX), enregistrement comme nœud, récupération de secrets/configurations et accès à des flux d’ordres privés, ouvrant la voie à du frontrunning et violant confidentialité et intégrité du système.
  • DSTACK/Phala & NVIDIA Confidential Computing: production de CVM « non confidentiels » qui passent quand même l’attestation TDX; relais d’attestation GPU NVIDIA CC (H100) depuis une autre machine, permettant d’affirmer faussement qu’un workload GPU tourne en environnement CC alors qu’il s’exécute hors TEE.
  • SECRET Network (SGX): extraction directe (sans forger d’attestation) d’une clé privée ECDH d’un nœud via la ladder de Montgomery, permettant de dériver la clé maîtresse du réseau et de décrypter des transactions privées, brisant entièrement la confidentialité.
  • AMD SEV‑SNP (Zen 5) avec Ciphertext Hiding: malgré la dissimulation des chiffrés côté hyperviseur, l’interposition physique révèle encore des chiffrements déterministes; les auteurs récupèrent des nonces et clés ECDSA OpenSSL (secp256k1) depuis un unique signe, re‑établissant des attaques « ciphertext » par voie matérielle.

Les auteurs détaillent la construction de l’interposeur DDR5 (riser RDIMM, réseau d’isolation type Keysight SoftTouch, analyseur logique 1,6 GHz, 3200 MT/s), la rétro‑ingénierie du mapping adresse physique → rang/banque/ligne via ACPI ADXL, et des techniques de synchronisation (ptrace/permissions de page, cache thrashing, SEV‑Step pour SNP). Ils précisent avoir pratiqué une divulgation coordonnée (Intel, AMD, NVIDIA et projets impactés) et que les plateformes testées étaient en attestation « UpToDate ».

TTPs observés

  • Interposition physique sur bus DDR5 RDIMM et capture de commandes/flux de données
  • Exploitation de l’AES‑XTS déterministe (TME/TME‑MK, SME/XEX) sans intégrité ni anti‑rejeu
  • Contrôle d’exécution d’enclaves/TDs: controlled‑channel (ptrace, permissions de page), cache thrashing, SEV‑Step
  • Rétro‑ingénierie du mappage mémoire via ACPI ADXL pour placer des adresses ciblées sur un canal observé
  • Extraction de PCK (observation des tables et points intermédiaires ECDSA), forgery de quotes SGX/TDX et sous‑version de chaînes d’attestation (Azure TPM+TDX, NVIDIA CC)
  • Attaques cryptographiques sur ECDH/ECDSA (ladder de Montgomery), récupération de nonces/clé privée via lectures mémoire chiffrées mais déterministes

Aucun IOC n’est fourni (pas d’IP, domaines, hashs malveillants). L’article est une publication de recherche démonstrative, visant à mesurer l’écart entre modèles de sécurité supposés et garanties effectives des TEEs serveur modernes.

🧠 TTPs et IOCs détectés

TTP

Interposition physique sur bus DDR5 RDIMM et capture de commandes/flux de données, Exploitation de l’AES-XTS déterministe sans intégrité ni anti-rejeu, Contrôle d’exécution d’enclaves/TDs via controlled-channel, cache thrashing, SEV-Step, Rétro-ingénierie du mappage mémoire via ACPI ADXL, Extraction de PCK et forgery de quotes SGX/TDX, Attaques cryptographiques sur ECDH/ECDSA, récupération de nonces/clé privée via lectures mémoire chiffrées mais déterministes

IOC

Aucun IOC n’est fourni (pas d’IP, domaines, hashs malveillants)

🔗 Source originale : https://tee.fail/