FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

在题为《TEE.fail：通过DDR5内存总线拦截攻破可信执行环境》的研究中，佐治亚理工学院和普渡大学的研究团队证实，即便是最新的Intel和AMD服务器级可信执行环境（TEE）——包括Intel SGX、TDX以及AMD SEV-SNP——也能被低成本硬件工具攻破。

研究人员指出："我们的研究表明，与普遍认知相反，针对DDR5服务器内存的总线拦截攻击可由爱好者以低廉成本构建，所用部件均能通过电商平台轻松获取。"

关键漏洞发现

实验显示，运行在第五代Intel至强与AMD Zen 5处理器上的机密虚拟机存在物理侧信道攻击风险，攻击者可从完全受信的系统中窃取包括认证密钥在内的加密材料。与早期采用默克尔树完整性验证及重放保护的Intel SGX不同，当前服务器级TEE为支持大规模机密虚拟机并降低延迟，转而采用确定性AES-XTS内存加密方案。

研究团队指出："与客户端SGX不同，服务器TEE采用确定性AES-XTS内存加密方案，不再提供基于默克尔树的完整性或重放保护...这种防护降级换来了可用性与性能优势。"

低成本攻击实现

通过利用这种确定性特征，研究团队使用成本低于1000美元的二手部件组装定制拦截器，成功观测并操控DDR5内存事务。论文声明："我们构建了可观测DRAM总线事务的低成本DDR5拦截装置，计算机爱好者使用二手市场设备即可在1000美元预算内完成攻击。"

信任链彻底瓦解

借助定制DDR5嗅探设备，研究人员成功提取Intel供应认证密钥（PCK）——该密钥是验证Intel SGX与TDX系统可信度的信任根。获取PCK后，攻击者可伪造完全有效的认证报告，向远程服务伪装成可信硬件。论文强调："我们通过从处于完全可信状态的至强服务器提取PCK，突破了TDX与SGX的安全保证...利用该PCK，我们攻破了BUILDERNET的TDX应用，破坏了其机密性与完整性。"

这意味着恶意操作者可创建密码学层面看似真实的伪造认证环境，欺骗云服务商及其合作伙伴。研究还证实，AMD SEV-SNP技术（尽管具备密文隐藏特性）以及基于Intel TDX生态的NVIDIA机密计算环境同样存在被攻破风险。

行业级安全影响

在AMD系统上的攻击实现了从本应受保护的虚拟机内部提取OpenSSL ECDSA实现的签名密钥。研究者警示："我们的研究成果影响着当前几乎所有基于商用硬件的服务器TEE实现。"研究进一步揭示了伪造认证链如何威胁BuilderNet、Phala Network的DSTACK SDK以及SECRET Network等实际应用——这些系统均依赖TEE保护区块链或AI运算。

通过绕过认证机制，攻击者可截获机密交易、窃取私有加密密钥，甚至在虚假宣称具备NVIDIA机密GPU认证的情况下运行未受保护的大语言模型工作负载。

厂商响应进展

遵循负责任披露原则，作者已于2025年4月通知Intel、6月通知NVIDIA、8月通知AMD。相关厂商已确认研究结果，并表示"考虑在论文公开发布时同步发布声明"。

参考来源：

TEE.fail: Researchers Break Intel SGX/TDX and AMD SEV-SNP with Sub-$1,000 DDR5 Memory Bus Attack

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）