In Zeiten des Cloud-Computing bilden die in Chips von Intel und AMD integrierten Schutzmechanismen die Grundlage für die Vertraulichkeit sensibler Daten und Operationen. Diese Trusted Execution Environments (TEEs), wie Intels SGX (Software Guard Extensions) und AMDs SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging), speichern Daten und Prozesse in verschlüsselten Enklaven, um Angreifer abzuwehren, die Server in Rechenzentren kompromittieren. Solche Schutzmechanismen sind essenziell für Dienste wie Signal Messenger oder WhatsApp, die Cloud-Geheimnisse schützen. Alle großen Cloud-Anbieter empfehlen ihre Nutzung. Forscher haben nun jedoch zwei unabhängige Angriffe veröffentlicht, die diese Versprechen weiter untergraben: „Battering RAM“ und „Wiretap“. Die Attacken nutzen günstige Hardware und demonstrieren fundamentale Schwächen in der deterministischen Verschlüsselung.
Die Angriffe im Detail
Beide Attacken setzen auf ein kleines Hardware-Element namens Interposer, das zwischen CPU-Silizium und Speichermodul platziert wird und Datenströme abfängt. Sie ausnutzen die deterministische Verschlüsselung von Intel und AMD: Dieselbe Klartextdaten an derselben Speicheradresse erzeugen immer denselben Chiffretext. Dies ermöglicht es, Muster zu erkennen und Verschlüsselungen zu knacken, ohne den Schlüssel zu benötigen.
- Battering RAM: Dieser aktive Angriff umgeht sowohl SGX als auch SEV-SNP und erlaubt nicht nur das Auslesen verschlüsselter Daten, sondern auch deren Manipulation – etwa durch Einfügen von Software-Backdoors oder Korruption von Daten. Er funktioniert mit DDR4-Speichermodulen und erfordert Ausrüstung, die weniger als 50 US-Dollar kostet. Auf Intel-Plattformen ermöglicht er willkürlichen Lese- und Schreibzugriff auf Enklaven-Inhalte; bei AMD umgeht er kürzliche Firmware-Mitigationen gegen den früheren „BadRAM“-Angriff (veröffentlicht im Dezember 2024) und erlaubt unauffällige Backdoor-Installation in virtuellen Maschinen. Die Attacke wurde früher in diesem Jahr den Herstellern gemeldet, die sie jedoch als „außerhalb des Bedrohungsmodells“ einstufen, da sie physischen Zugriff voraussetzt.
- Wiretap: Dieser passive Angriff entschlüsselt sensible SGX-geschützte Daten und bleibt dabei unsichtbar. Er ist auf SGX mit DDR4 beschränkt, würde aber mit geringem Aufwand auch SEV-SNP betreffen. Im Gegensatz zu Battering RAM erfordert Wiretap keinen Eingriff in die Datenintegrität, sondern ermöglicht reines Auslesen.
Die Forscher betonen, dass beide Attacken die Annahmen brechen, auf denen TEEs basieren: Schutz vor Software- oder OS-Kompromittierungen, aber nicht vor physischen Zugriffen. „Unsere Attacken zeigen, dass selbst die Kernversprechen der Enklaven brüchig sind, sobald physischer Zugang besteht – ein Szenario, das in kompromittierten Rechenzentren realistisch ist“, so ein Zitat aus den Papern. Eine vollständige Abwehr würde eine fundamentale Neugestaltung der Speicherverschlüsselung erfordern, was Leistungsverluste und Kompatibilitätsprobleme nach sich zöge.
Implikationen für Cloud-Sicherheit
Die Attacken haben weitreichende Konsequenzen für Cloud-Nutzer und -Anbieter. TEEs werden von Diensten wie AWS, Azure und Google Cloud empfohlen, um Daten vor unzuverlässigen Hypervisoren oder kompromittierten Hosts zu schützen. Battering RAM könnte Backdoors in Enklaven einführen, die proprietäre Algorithmen ausführen, oder sensible Berechnungen manipulieren – etwa in KI-Modellen oder Finanztransaktionen. Wiretap ermöglicht das passive Ausspionieren von Chats in Apps wie WhatsApp, die SGX nutzen.
Kürzlich demonstrierte eine ETH-Zürich-Studie (VMScape, CVE-2025-40300, CVSS 6,5) weitere Schwächen in AMD Zen- und Intel Coffee-Lake-CPUs durch Spectre-ähnliche Branch-Target-Injection-Angriffe, die Virtualisierungsgrenzen durchbrechen. AMD hat zudem kürzlich Mitigationen für „Heracles“ und „Relocate-Vote“-Attacken veröffentlicht, die SEV-SNP durch bösartige Hypervisoren kompromittieren. „Das System erlaubt Hypervisoren, Daten effizient zu verschieben – genau das nutzen Angreifer aus“, erklärte David Lie, Direktor des Schwartz Reisman Institute an der University of Toronto.
Intel und AMD betonen, dass ihre TEEs physische Attacken wie Battering RAM und Wiretap explizit nicht abdecken. Dennoch fordern Experten zu sofortigen Maßnahmen auf: Isolation von kritischen Cores (z. B. via Linux isolcpus-Parameter), Cache-Monitoring mit Tools wie perf und diversifizierte Verschlüsselungsmethoden. „Physische Angriffe mögen labormäßig sein, aber in Supply-Chain-Szenarien oder insiderbedingten Kompromittierungen sind sie eine reale Bedrohung“, warnt ein Forscher.
Historischer Kontext und Ausblick
Über Jahre hinweg haben SGX und SEV-SNP wiederholt Versagen gezeigt: Frühere Attacken wie ÆPIC Leak (2022), Downfall (2023) oder Retbleed (2022) nutzten Side-Channels, um Daten aus Enklaven zu leaken. Intel und AMD haben Microcode-Updates und Software-Mitigationen herausgebracht, die jedoch Overhead von bis zu 28 Prozent verursachen. Die neuen Papers, unabhängig publiziert, unterstreichen die Notwendigkeit hybrider Sicherheitsansätze: Kombination aus Hardware, Firmware und Verhaltensschutz.
Die Hersteller arbeiten mit der Community zusammen, um Anleitungen zu aktualisieren. Cloud-Anbieter sollten Kunden warnen und auf alternative Schutzschichten wie konfidentiale VMs setzen. „Während TEEs essenziell bleiben, müssen wir ihre Grenzen anerkennen und Resilienz aufbauen“, so Dan Goodin von Ars Technica.
Quellen: Ars Technica, The Hacker News, ETH Zürich Papers, University of Toronto.
