AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Investigadores Demuestran Ataque WireTap que Compromete la Seguridad de Intel SGX Extrayendo Claves de Atestación**

admin

### 1. Introducción

El ecosistema de la computación confidencial ha recibido un nuevo golpe tras la publicación de un ataque innovador denominado «WireTap», dirigido contra la tecnología Intel Software Guard Extensions (SGX). Este ataque explota vulnerabilidades en el mecanismo de atestación basado en DCAP y permite, mediante el uso de un interposer pasivo, la extracción de la clave de atestación de la enclave, minando la confianza en las garantías de integridad y confidencialidad que SGX pretende ofrecer. El hallazgo ha generado gran preocupación entre profesionales de ciberseguridad, especialmente en sectores donde la protección de datos y la ejecución segura de código son críticos.

### 2. Contexto del Incidente o Vulnerabilidad

Intel SGX es una tecnología ampliamente adoptada en entornos que requieren ejecución segura de aplicaciones, como servicios financieros, cloud computing y soluciones de blockchain. SGX permite la creación de enclaves aislados en memoria, ofreciendo protección frente a accesos no autorizados incluso desde el propio sistema operativo o el hipervisor.

La atestación remota, especialmente a través del Data Center Attestation Primitives (DCAP), es un componente esencial para verificar la legitimidad y el estado de los enclaves de SGX. DCAP ha sido promovido por Intel como la evolución de la atestación tradicional, permitiendo a los proveedores cloud y a los usuarios finales validar enclaves sin depender de los servicios centrales de Intel.

WireTap aprovecha una debilidad en la implementación de DCAP y el canal de comunicación hardware entre el procesador y la memoria, permitiendo a un atacante extraer la clave privada de atestación, un elemento fundamental para la confianza en la cadena de seguridad de SGX.

### 3. Detalles Técnicos

**CVE Asociado y Descripción Técnica**

Si bien al cierre de esta edición aún no se ha asignado un CVE específico, los investigadores han reportado la vulnerabilidad al Intel Product Security Incident Response Team (PSIRT) y se espera la publicación de un identificador en breve.

**Vector de Ataque**

WireTap utiliza un interposer pasivo—un dispositivo que se inserta físicamente en el bus de comunicación entre la CPU y la memoria—para interceptar y manipular señales eléctricas. El ataque no requiere modificar el firmware ni el software del sistema. En cambio, el interposer observa el tráfico entre el procesador Intel y el chip de memoria, permitiendo al atacante capturar la clave privada de atestación DCAP cuando esta es transmitida o utilizada.

**TTPs según MITRE ATT&CK**

– **T1205.002 – Traffic Interception: Peripheral Device Interception**
– **T1005 – Data from Local System**
– **T1557 – Man-in-the-Middle**

**Indicadores de Compromiso (IoCs)**

– Anomalías en la secuencia de atestación DCAP.
– Cambios inesperados en los registros de acceso a enclaves.
– Detección de dispositivos adicionales en el bus PCIe.

**Herramientas y Frameworks**

Aunque WireTap se ha demostrado en entorno de laboratorio, se prevé que la explotación pueda ser automatizada mediante scripts personalizados o la integración en frameworks como Metasploit, facilitando la explotación a actores con conocimientos intermedios.

### 4. Impacto y Riesgos

La capacidad de extraer la clave de atestación DCAP tiene profundas implicaciones:

– **Compromiso de la Cadena de Confianza:** Permite la suplantación de enclaves legítimos, facilitando ataques de falsificación y exfiltración de datos.
– **Escalado de Privilegios:** Un atacante podría ejecutar código malicioso que se haga pasar por código seguro, evadiendo controles de integridad.
– **Impacto en Cloud y Edge Computing:** Proveedores de servicios cloud que dependen de SGX para la segregación de clientes ven debilitada su postura de seguridad. Se estima que al menos un 15% de las cargas de trabajo cloud confidenciales actuales utilizan SGX o soluciones similares.
– **Implicaciones Legales:** La violación de la confidencialidad puede derivar en incumplimiento del GDPR y NIS2, con sanciones económicas significativas (hasta el 4% de la facturación anual global según GDPR).

### 5. Medidas de Mitigación y Recomendaciones

– **Revisión y Actualización de Hardware:** Verificar la integridad física de los sistemas, asegurando la ausencia de interposers no autorizados.
– **Monitorización de Hardware:** Implementar soluciones de monitorización en tiempo real del bus PCIe y otros canales críticos.
– **Actualización de Microcódigo y Firmware:** Aplicar los parches que Intel publique en respuesta a esta vulnerabilidad.
– **Segmentación Física:** Evitar el co-alojamiento de cargas de trabajo críticas en hardware compartido o de acceso físico potencialmente inseguro.
– **Auditoría de Atestación:** Revisar los logs y procedimientos de atestación para detectar anomalías temporales o de comportamiento.
– **Restricción de Acceso Físico:** Fortalecer controles de acceso físico en CPDs, especialmente en racks y servidores con enclaves SGX activos.

### 6. Opinión de Expertos

Varios investigadores y consultores en ciberseguridad han advertido que WireTap representa un cambio de paradigma en la explotación de hardware seguro. “El ataque demuestra que la seguridad de los enclaves no puede depender únicamente de mecanismos criptográficos y software; la seguridad física sigue siendo un vector crítico”, señala Enrique Martínez, analista senior en un CERT español.

Por su parte, Intel ha declarado que está investigando el incidente y colaborando con los investigadores para evaluar el alcance real y las posibles mitigaciones, pero recuerda que las amenazas físicas siempre han sido consideradas fuera del modelo de amenaza principal de SGX.

### 7. Implicaciones para Empresas y Usuarios

Empresas que dependen de SGX para la protección de datos sensibles en cloud, fintech o sector salud deben reevaluar su confianza en la arquitectura, especialmente si operan en entornos donde el acceso físico al hardware no puede ser completamente controlado. Los administradores de sistemas y responsables de seguridad deben priorizar la revisión de la postura física de sus infraestructuras y reforzar los procedimientos de atestación y monitorización.

### 8. Conclusiones

WireTap revela que las garantías de seguridad de Intel SGX pueden ser insuficientes ante adversarios con acceso físico y conocimientos avanzados. Aunque el ataque requiere recursos significativos y acceso directo al hardware, su éxito demuestra la necesidad de un enfoque holístico que combine seguridad lógica y física. Las organizaciones deberán mantenerse atentas a nuevas actualizaciones de Intel y evaluar su exposición al riesgo, reforzando tanto las políticas de acceso como las medidas técnicas para preservar la integridad de sus entornos SGX.

(Fuente: www.securityweek.com)