{"id":32849,"date":"2025-10-31T13:54:15","date_gmt":"2025-10-31T11:54:15","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32849"},"modified":"2025-10-31T13:55:10","modified_gmt":"2025-10-31T11:55:10","slug":"wiretap-battering-ram-tee-attacks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/wiretap-battering-ram-tee-attacks\/32849\/","title":{"rendered":"Hacken von TEEs in Server-Infrastrukturen"},"content":{"rendered":"<p>Moderne Server-Prozessoren verf\u00fcgen \u00fcber ein <a href=\"https:\/\/de.wikipedia.org\/wiki\/Trusted_Execution_Environment\" target=\"_blank\" rel=\"noopener nofollow\">vertrauensw\u00fcrdiges Ausf\u00fchrungsumfeld<\/a> (Trusted Execution Environment, TEE) f\u00fcr den Umgang mit besonders sensiblen Informationen. Es gibt viele TEE-Implementierungen, aber zwei sind f\u00fcr diese Diskussion am relevantesten: Intel Software Guard Erweiterungen (SGX) und AMD Secure Encrypted Virtualization (SEV). Fast gleichzeitig entdeckten zwei separate Forscherteams \u2013 eines in den USA und eines in Europa \u2013 unabh\u00e4ngig voneinander sehr \u00e4hnliche (wenn auch unterschiedliche) Methoden zur Nutzung dieser beiden Implementierungen. Ihr Ziel war es, Zugriff auf verschl\u00fcsselte Daten zu erhalten, die sich im Arbeitsspeicher befinden. Beide wissenschaftlichen Arbeiten, in denen diese Ergebnisse detailliert beschrieben sind, wurden innerhalb weniger Tage ver\u00f6ffentlicht:<\/p>\n<ul>\n<li><a href=\"https:\/\/wiretap.fail\/\" target=\"_blank\" rel=\"noopener nofollow\">WireTap: Breaking Server SGX via DRAM Bus Interposition<\/a> lautet die Ver\u00f6ffentlichung der US-Forscher, in der sie detailliert einen erfolgreichen Hack des Intel Software Guard eXtensions-Systems (SGX) beschreiben. Der Hack gelang, indem sie den Austausch von Daten zwischen dem Prozessor und dem DDR4 RAM Modul abh\u00f6rten.<\/li>\n<li>In <a href=\"https:\/\/batteringram.eu\/\" target=\"_blank\" rel=\"noopener nofollow\">Battering RAM<\/a> kompromittieren Wissenschaftler aus Belgien und Gro\u00dfbritannien erfolgreich Intel SGX sowie das vergleichbare Sicherheitssystem SEV-SNP von AMD, indem sie den Daten\u00fcbertragungsprozess zwischen dem Prozessor und dem DDR4 RAM-Modul manipulierten.<\/li>\n<\/ul>\n<h2>Ein TEE hacken<\/h2>\n<p>Beide genannten Technologien \u2013 Intel SGX und AMD SEV \u2013 sind darauf ausgelegt, Daten selbst dann zu sch\u00fctzen, wenn das sie verarbeitende System vollst\u00e4ndig unterwandert ist. Daher gingen die Forscher von der Pr\u00e4misse aus, dass der Angreifer v\u00f6llige Handlungsfreiheit hat: uneingeschr\u00e4nkten Zugriff auf die Software und Hardware des Servers sowie auf die vertraulichen Daten, die er beispielsweise in einer virtuellen Maschine auf diesem Server sucht.<\/p>\n<p>In diesem Szenario werden bestimmte Einschr\u00e4nkungen von Intel SGX und AMD SEV kritisch. Ein Beispiel ist die Verwendung der deterministischen Verschl\u00fcsselung: Ein Algorithmus, bei dem eine bestimmte Folge von Eingabedaten immer genau dieselbe Folge von verschl\u00fcsselten Ausgabedaten erzeugt. Da der Angreifer vollen Zugriff auf die Software hat, kann er beliebige Daten in das TEE eingeben. Wenn der Angreifer auch Zugriff auf die verschl\u00fcsselten Informationen h\u00e4tte, k\u00f6nnte ein Vergleich dieser beiden Datens\u00e4tze es ihm erm\u00f6glichen, den verwendeten privaten Schl\u00fcssel zu berechnen. Dies wiederum w\u00fcrde es ihnen erm\u00f6glichen, andere Daten zu entschl\u00fcsseln, die mit dem gleichen Mechanismus verschl\u00fcsselt wurden.<\/p>\n<p>Die Herausforderung besteht jedoch darin, wie die verschl\u00fcsselten Daten gelesen werden k\u00f6nnen. Sie befinden sich im RAM und nur der Prozessor hat direkten Zugriff darauf. Die theoretische Malware sieht nur die Originalinformationen, bevor sie im Speicher verschl\u00fcsselt werden. Dies ist die wesentliche Herausforderung, die die Forscher auf unterschiedliche Weise angegangen ist. Eine direkte L\u00f6sung besteht darin, <em>die Daten, die vom Prozessor an das RAM-Modul \u00fcbertragen werden, auf Hardware-Ebene abzuh\u00f6ren<\/em>.<\/p>\n<p>Wie funktioniert das? Das Speichermodul wird mithilfe eines Interposers entfernt und wieder eingesetzt, der seinerseits mit einem speziellen Ger\u00e4t verbunden ist: einem Logikanalysator. Der Logikanalysator f\u00e4ngt die Datenstr\u00f6me ab, die \u00fcber alle Daten- und Adressleitungen zum Speichermodul laufen. Das ist durchaus komplex. Da ein Server normalerweise \u00fcber viele Speichermodule verf\u00fcgt, muss der Angreifer einen Weg finden, den Prozessor dazu zu zwingen, die angestrebten Informationen gezielt in den gew\u00fcnschten Bereich zu schreiben. Als n\u00e4chstes m\u00fcssen die vom Logikanalysator erfassten Rohdaten rekonstruiert und analysiert werden.<\/p>\n<p>Aber die Probleme enden hier nicht. Moderne Speichermodule tauschen mit enormer Geschwindigkeit Daten mit dem Prozessor aus und f\u00fchren Milliarden von Operationen pro Sekunde aus. Um einen derart schnellen Datenfluss abzufangen, ist eine High-End-Ausr\u00fcstung erforderlich. Die Hardware, mit der 2021 die Machbarkeit dieser Art von Angriff <a href=\"https:\/\/www.usenix.org\/conference\/usenixsecurity20\/presentation\/lee-dayeol\" target=\"_blank\" rel=\"noopener nofollow\">nachgewiesen<\/a> wurde, kostete Hunderttausende Dollar.<\/p>\n<h2>Die Funktionen von WireTap<\/h2>\n<p>Den US-Forschern von WireTap ist es gelungen, die Kosten f\u00fcr ihre Forschung auf knapp tausend Dollar zu dr\u00fccken. Ihr Aufbau zum Abfangen von Daten von DDR4-Speichermodulen sah so aus:<\/p>\n<div id=\"attachment_32851\" style=\"width: 2010px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/10\/31134108\/wiretap-battering-ram-tee-attacks-wiretap.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-32851\" class=\"wp-image-32851 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/10\/31134108\/wiretap-battering-ram-tee-attacks-wiretap.jpg\" alt=\"WireTap und Battering RAM: Angriffe auf TEEs \" width=\"2000\" height=\"920\"><\/a><p id=\"caption-attachment-32851\" class=\"wp-caption-text\">Testsystem zum Abfangen des Datenaustauschs zwischen Prozessor und Speichermodul. <a target=\"_blank\" rel=\"noopener\">Quelle<\/a><\/p><\/div>\n<p>Sie gaben die H\u00e4lfte des Budgets f\u00fcr einen ein Vierteljahrhundert alten Logikanalysator aus, den sie \u00fcber eine Online-Auktion erworben hatten. Der Rest umfasste die erforderlichen Anschl\u00fcsse, und der Interposer (der Adapter, in den das Zielspeichermodul eingesetzt wurde) wurde von den Autoren selbst gel\u00f6tet. Ein veraltetes Setup wie dieses k\u00f6nnte den Datenstrom unm\u00f6glich mit seiner normalen Geschwindigkeit erfassen. Die Forscher machten jedoch eine wichtige Entdeckung: Sie konnten den Betrieb des Speichermoduls verlangsamen. Anstelle der effektiven DDR4-Standardgeschwindigkeiten von 1600 bis 3200\u00a0Megahertz gelang es ihnen, die Geschwindigkeit auf 1333\u00a0Megahertz zu drosseln.<\/p>\n<p>Von nun an sind die Schritte\u2026 nun ja, nicht ganz einfach, aber klar:<\/p>\n<ol>\n<li>Stelle sicher, dass die Daten des Zielprozesses auf das gehackte Speichermodul geschrieben wurden und fange es dann ab, da es zu diesem Zeitpunkt noch verschl\u00fcsselt ist.<\/li>\n<li>Gib einen benutzerdefinierten Datensatz zur Verschl\u00fcsselung in Intel SGX ein.<\/li>\n<li>Fange die verschl\u00fcsselte Version der bekannten Daten ab, vergleiche den bekannten Klartext mit dem resultierenden Chiffretext und berechne den Chiffrierschl\u00fcssel.<\/li>\n<li>Entschl\u00fcssele die zuvor erfassten Daten, die zum Zielprozess geh\u00f6ren.<\/li>\n<\/ol>\n<p>Zusammenfassend l\u00e4sst sich sagen, dass die Arbeit mit WireTap unser Verst\u00e4ndnis der inh\u00e4renten Einschr\u00e4nkungen von Intel SGX nicht grundlegend \u00e4ndert. Es zeigt sich jedoch, dass der Angriff drastisch verbilligt werden kann.<\/p>\n<h2>Die Funktionen von Battering RAM<\/h2>\n<p>Anstelle des einfachen Datenabfang-Ansatzes suchten die Forscher der belgischen KU Leuven und ihre britischen Kollegen nach einer subtileren und eleganteren Methode, um auf verschl\u00fcsselte Informationen zuzugreifen. Bevor wir jedoch ins Detail gehen, betrachten wir die Hardware-Komponente und vergleichen sie mit der Arbeit des amerikanischen Teams:<\/p>\n<div id=\"attachment_32852\" style=\"width: 2010px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/10\/31134136\/wiretap-battering-ram-tee-attacks-batteringram.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-32852\" class=\"size-full wp-image-32852\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/10\/31134136\/wiretap-battering-ram-tee-attacks-batteringram.jpg\" alt=\"WireTap und Battering RAM: Angriffe auf TEEs\" width=\"2000\" height=\"853\"><\/a><p id=\"caption-attachment-32852\" class=\"wp-caption-text\">Der in Battering RAM verwendete Speichermodul-Interposer. <a href=\"https:\/\/batteringram.eu\/\" target=\"_blank\" rel=\"noopener nofollow\">Quelle<\/a><\/p><\/div>\n<p>Anstelle eines Kabelgewirrs und eines sperrigen Datenanalysators bietet dieser Aufbau eine einfache, von Grund auf neu entwickelte Platine, in die das Zielspeichermodul eingesetzt wird. Gesteuert wird die Platine von einem preiswerten Raspberry Pi Pico-Mikrocomputer. Das Hardware-Budget ist vernachl\u00e4ssigbar: nur 50 Euro! Dar\u00fcber hinaus kann Battering RAM im Gegensatz zum WireTap-Angriff heimlich durchgef\u00fchrt werden; ein st\u00e4ndiger physischer Zugriff auf den Server ist nicht erforderlich. Nach der Installation des modifizierten Speichermoduls k\u00f6nnen die erforderlichen Daten aus der Ferne gestohlen werden.<\/p>\n<p>Was genau macht diese Platine? Die Forscher fanden heraus, dass durch die Erdung von nur zwei Adresszeilen (die bestimmen, wo Informationen geschrieben oder gelesen werden) im richtigen Moment eine Datenspiegelung hergestellt werden kann. Dadurch werden Informationen in Speicherzellen geschrieben, auf die der Angreifer zugreifen kann. Die Interposer-Platine fungiert als ein Paar einfacher Schalter, die vom Raspberry Pi-Mikrocomputer gesteuert werden. W\u00e4hrend die Manipulation von Kontakten auf aktiver Hardware normalerweise zum Einfrieren des Systems oder zur Besch\u00e4digung von Daten f\u00fchrt, erreichten die Forscher einen stabilen Betrieb, indem sie die Adressleitungen nur in den erforderlichen Momenten trennten und wieder anschlossen.<\/p>\n<p>Diese Methode gab den Autoren die M\u00f6glichkeit, auszuw\u00e4hlen, wo ihre Daten aufgezeichnet wurden. Das bedeutet vor allem, dass sie nicht einmal den Chiffrierschl\u00fcssel berechnen mussten! Sie haben zuerst die verschl\u00fcsselten Informationen aus dem Zielprozess erfasst. Als n\u00e4chstes f\u00fchrten sie ein eigenes Programm im selben Speicherbereich aus und forderten das TEE-System auf, die zuvor erfassten Informationen zu entschl\u00fcsseln. Diese Technik erm\u00f6glichte es ihnen, nicht nur Intel SGX, sondern auch AMD SEV zu hacken. Dar\u00fcber hinaus half ihnen diese Kontrolle \u00fcber das Schreiben der Daten, die Sicherheitserweiterung von AMD namens SEV-SNP zu umgehen. Diese Erweiterung, die Secure Nested Paging verwendet, wurde entwickelt, um die virtuelle Maschine vor Unterwanderung zu sch\u00fctzen, indem Daten\u00e4nderungen im Arbeitsspeicher verhindert werden. Die Umgehung von SEV-SNP erm\u00f6glicht Angreifern theoretisch nicht nur das Auslesen verschl\u00fcsselter Daten, sondern auch das Einschleusen von Schadcode in eine unterwanderte virtuelle Maschine.<\/p>\n<h2>Die Bedeutung physischer Angriffe auf die Server-Infrastruktur<\/h2>\n<p>Es ist klar, dass solche Angriffe in der Praxis zwar m\u00f6glich sind, aber in der Realit\u00e4t wahrscheinlich nicht ausgef\u00fchrt werden. Der Wert der gestohlenen Daten m\u00fcsste extrem hoch sein, um eine Manipulation auf Hardwareebene zu rechtfertigen. Dies ist zumindest die Haltung von Intel und AMD zu ihren Sicherheitsl\u00f6sungen: Beide Chiphersteller antworteten den Forschern mit der Aussage, dass physische Angriffe nicht in ihr Sicherheitsmodell fallen. Sowohl das amerikanische als auch das europ\u00e4ische Forschungsteam haben jedoch gezeigt, dass die Kosten f\u00fcr diese Angriffe nicht ann\u00e4hernd so hoch sind, wie bisher angenommen. Dies erweitert m\u00f6glicherweise die Liste der Bedrohungsakteure, die bereit sind, solche komplexen Schwachstellen zu nutzen.<\/p>\n<p>Die vorgeschlagenen Angriffe haben ihre eigenen Beschr\u00e4nkungen. Wie bereits erw\u00e4hnt, wurde der Diebstahl von Informationen auf Systemen durchgef\u00fchrt, die mit standardm\u00e4\u00dfigen DDR4-Speichermodulen ausgestattet sind. Der neuere DDR5-Standard, der 2020 fertiggestellt wurde, wurde noch nicht f\u00fcr Forschungszwecke unterwandert. Dies ist sowohl auf die \u00fcberarbeitete Architektur der Speichermodule als auch auf deren h\u00f6here Arbeitsgeschwindigkeit zur\u00fcckzuf\u00fchren. Es ist jedoch sehr wahrscheinlich, dass die Forschung irgendwann auch in DDR5 Schwachstellen findet. Und das ist gut so: Die deklarierte Sicherheit von TEE-Systemen muss regelm\u00e4\u00dfig unabh\u00e4ngigen Audits unterzogen werden. Andernfalls kann es vorkommen, dass ein vermeintlich vertrauensw\u00fcrdiges Schutzsystem ganz pl\u00f6tzlich nicht mehr sch\u00fctzt.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>Zwei separate Forschungsarbeiten zeigen anschaulich, wie virtuelle Systeme in einer feindlichen Umgebung kompromittiert werden k\u00f6nnen \u2013 insbesondere dann, wenn der Dateneigent\u00fcmer dem Cloud-Anbieter nicht vertrauen kann.<\/p>\n","protected":false},"author":665,"featured_media":32850,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[1406,4020,1498],"class_list":{"0":"post-32849","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-hardware","11":"tag-ram","12":"tag-schwachstellen"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/wiretap-battering-ram-tee-attacks\/32849\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/wiretap-battering-ram-tee-attacks\/29730\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/wiretap-battering-ram-tee-attacks\/24801\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/wiretap-battering-ram-tee-attacks\/29618\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/wiretap-battering-ram-tee-attacks\/28678\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/wiretap-battering-ram-tee-attacks\/31570\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/wiretap-battering-ram-tee-attacks\/30229\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/wiretap-battering-ram-tee-attacks\/40738\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/wiretap-battering-ram-tee-attacks\/13932\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/wiretap-battering-ram-tee-attacks\/54598\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/wiretap-battering-ram-tee-attacks\/23322\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/wiretap-battering-ram-tee-attacks\/24421\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/wiretap-battering-ram-tee-attacks\/29871\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/wiretap-battering-ram-tee-attacks\/35562\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/wiretap-battering-ram-tee-attacks\/35186\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ram\/","name":"RAM"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32849","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32849"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32849\/revisions"}],"predecessor-version":[{"id":32858,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32849\/revisions\/32858"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32850"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32849"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32849"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32849"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}