Een nieuwe barst in SGX, het beschermende pantser rond de CPU’s van Intel, brengt de chipfabrikant opnieuw in verlegenheid. Het is al het zevende lek sinds 2018 in wat een ondoordringbare vesting zou moeten zijn.
Software Guard Extensions (SGX) is het paradepaardje van Intel op het vlak van CPU-bescherming. Het is een hoeksteen van de beveiligingsstrategie van verschillende bedrijven. SGX is als het ware een fort dat voor bescherming moet zorgen van encryptiesleutels en andere gevoelige data. De bescherming werkt zelfs, in theorie dan toch, wanneer een OS of virtuele machine kwaadwillig is beschadigd.
Bedrijven zoals Signal rekenen op SGX voor de beveiliging en de anonimiteit van hun processen. De sleutel tot de beveiliging en authenticiteit is dat SGX als het ware eclaves maakt. Dat zijn blokken van beveiligd geheugen die zijn gecodeerd voor ze de processor verlaten. De decodering vindt enkel plaats wanneer de gegevens terugkeren naar de processor.
Lek nummer 7 in het pantser
De theorie is mooi maar in de praktijk blijkt dat SGX regelmatig barstjes in het pantser vertoont. Sinds 2018 hebben onderzoekers zeven problemen ontdekt. De laatste in het rijtje is ÆPIC Leak. Het lek ontstaat nadat geheugenruimte niet volledig is gewist wanneer de CPU klaar is met processing. Daardoor kan oude data vrijkomen, wat tot gegevenslekken kan leiden. ÆPIC Leak is een probleem dat ontstaat vanuit de CPU zelf.
ÆPIC Leak kan getraceerd worden als CVE-2022-21233. Intel heeft samen met de onderzoekers een patch gemaakt. Gebruikers die een aangetaste CPU hebben, kunnen de update verkrijgen via de server. Intel verwacht om de kwetsbaarheid volledig te patchen in de volgende generaties microarchitectuur.