Miles de millones en protección — 50 dólares para eludirla: así cuesta el acceso completo a los mayores servicios en la nube

Un grupo de especialistas desarrolló una herramienta de hardware sencilla que cuestiona los cimientos de la computación confiable en los entornos de nube modernos. Con un dispositivo que cuesta menos de 50 dólares lograron sortear las protecciones a nivel de hardware Intel Scalable SGX y AMD SEV-SNP, que habilitan los Entornos de Ejecución Confiables (TEE). Estas tecnologías sustentan la computación confidencial usada por los mayores proveedores de la nube y protegen los datos en la memoria RAM frente a ataques con privilegios y acceso físico, incluidos reinicios en frío e intercepción del tráfico en el bus de memoria.

El dispositivo creado es un interposer DDR4 que se inserta entre el procesador y el módulo de memoria. Manipula las líneas de dirección y crea alias de memoria dinámicos que no pueden ser detectados por los mecanismos de protección integrados. A diferencia de los ataques estáticos basados en modificar los chips SPD, que Intel y AMD ya han mitigado en firmware recientes, la naturaleza dinámica del interposer permite eludir las comprobaciones en el arranque y operar en tiempo real. Esto convierte ataques de hardware que costaban cientos de miles de dólares en un método accesible que requiere gastos mínimos y habilidades básicas de ingeniería.

En sistemas con Intel Scalable SGX los investigadores demostraron por primera vez que el uso de una clave única para todo el rango de memoria permite leer y escribir datos arbitrarios dentro de los enclaves protegidos. Experimentalmente lograron extraer la clave de provisionamiento de la plataforma que sustenta el mecanismo de atestación remota. Esto elimina por completo la confianza en el sistema: un atacante puede generar atestaciones falsas sin acceso al hardware real. Así, se compromete el mecanismo básico de verificación de la integridad del entorno en los servicios en la nube.

En el caso de AMD SEV-SNP los investigadores demostraron cómo eludir los nuevos mecanismos ALIAS_CHECK diseñados para proteger contra ataques tipo BadRAM. Su método permitió reproducir escenarios que se consideraban cerrados, incluida la sustitución y la repetición de bloques de texto cifrado. Como resultado, es posible crear máquinas virtuales falsas que pasan la verificación remota como si fueran legítimas, lo que de hecho destruye el sistema de confianza en el ecosistema SEV.

El dispositivo está construido con componentes accesibles: una placa de circuito impreso, un microcontrolador Raspberry Pi Pico 2 y un par de conmutadores analógicos. El proyecto costó en total menos de 50 dólares, lo que lo hace órdenes de magnitud más barato que los analizadores DDR4 profesionales. Además, los ataques se ejecutan de forma determinista y rápida, sin necesidad de equipo caro ni condiciones complejas.

El trabajo mostró que incluso las plataformas actualizadas con firmware de Intel y AMD son vulnerables a ataques físicos simples si el adversario tiene acceso temporal al servidor. Puede tratarse de un empleado del proveedor de la nube, de la cadena de suministro o incluso de fuerzas de seguridad que obtuvieron acceso al equipo. Los autores señalan que tales amenazas no pueden ser ignoradas, ya que la encriptación de la memoria se introdujo precisamente para prevenirlas.

Los investigadores divulgaron los detalles a Intel en enero de 2025 y a AMD en febrero. Ambas empresas reconocieron la vulnerabilidad, pero afirmaron que los ataques físicos están fuera de sus modelos de amenaza. Arm, que recibió notificación sobre la posible aplicabilidad del método a la arquitectura CCA, también declaró que el acceso físico no forma parte de las garantías de sus soluciones. Tras el fin del embargo, el proyecto se publicó, incluidos los materiales fuente y los firmwares para el interposer, en acceso abierto en GitHub.

Los autores subrayan que la transición a TEE escalables fue acompañada por un debilitamiento de las garantías criptográficas en favor del rendimiento y del soporte de todo el volumen de memoria. Esta decisión, antes considerada segura, resultó ser vulnerable frente a ataques de hardware de bajo presupuesto. En el futuro la protección solo podrá reforzarse volviendo a métodos criptográficos más estrictos o mediante la adopción de memoria integrada, donde el acceso físico al bus sea imposible.