La recente scoperta della vulnerabilità denominata Battering RAM rappresenta una svolta preoccupante nella sicurezza hardware dei processori Intel e AMD utilizzati nei servizi cloud. Un team di ricercatori ha dimostrato come, attraverso un semplice interposer hardware da appena 50 dollari collegato nella catena della memoria DDR4, sia possibile bypassare le difese offerte da Intel SGX e AMD SEV-SNP, due delle principali tecnologie di sicurezza per la protezione della memoria nei datacenter cloud.

Battering RAM sfrutta un piccolo dispositivo che si inserisce in modo trasparente tra la CPU e la RAM durante l’avvio, superando tutti i controlli di fiducia. Successivamente, basta un semplice comando per attivare il comportamento malevolo: l’interposer inizia a deviare gli indirizzi protetti verso aree di memoria sotto il controllo dell’attaccante, consentendo la corruzione o la ripetizione di dati di memoria cifrata. Questo attacco colpisce tutti i sistemi basati su DDR4 che utilizzano la cosiddetta confidential computing, una tecnologia pensata per proteggere i dati anche dagli operatori del cloud grazie al controllo hardware e alla cifratura della memoria.

Nel dettaglio, su piattaforme Intel l’attacco permette di leggere o scrivere in chiaro dati all’interno degli enclave protetti, mentre su AMD è possibile aggirare anche le mitigazioni firmware più recenti, introducendo backdoor nei carichi di lavoro virtualizzati senza essere rilevati. Questo rappresenta una minaccia particolarmente seria per chi si affida al cloud pubblico per gestire dati sensibili e cerca protezioni a livello hardware contro accessi non autorizzati, compresi quelli di insider o provider malevoli.

I produttori hanno risposto sostenendo che attacchi fisici di questo tipo sono attualmente considerati fuori dal perimetro di minaccia dei loro prodotti, ma i ricercatori evidenziano che per difendersi davvero occorrerebbe ripensare da zero la progettazione della cifratura della memoria. L’attacco mostra infatti che, per motivi di scalabilità, i controlli di freschezza crittografica vengono omessi, lasciando un punto debole che Battering RAM può sfruttare anche dopo l’avvio del sistema.

Questa vulnerabilità si inserisce in un contesto di crescente attenzione verso le falle hardware dei processori cloud, con recenti scoperte come L1TF Reloaded, Heracles, Relocate-Vote e VMScape che sfruttano varie debolezze lato CPU o hypervisor per ottenere accesso a dati riservati. La lezione è chiara: anche le soluzioni hardware della sicurezza cloud non sono immuni da minacce sofisticate e low cost.