Intel TDX 1.5: 5 vulnerabilità risolte grazie alla collaborazione con Google

La pubblicazione dei risultati derivanti dalla collaborazione tra il team di ricerca INT31 di Intel e Google Cloud Security segna un passaggio rilevante per la validazione delle tecnologie di sicurezza hardware. L'attività di revisione, protrattasi per cinque mesi, si è concentrata sul rafforzamento di Intel TDX Module 1.5, il componente software centrale responsabile della gestione delle macchine virtuali riservate.

Durante le fasi di test sono state identificate cinque vulnerabilità e trentacinque ulteriori debolezze o aree passibili di miglioramento (qui il link al post di Google). Secondo quanto dichiarato dal produttore di chip, tutte le cinque vulnerabilità critiche sono state corrette nell'ultima versione del codice rilasciata ai partner.

Intel TDX propone un approccio differente alla sicurezza dei data center rispetto alla virtualizzazione tradizionale: mentre nei sistemi classici l'hypervisor mantiene un accesso completo ai dati presenti nel sistema ospite, questa tecnologia istituisce i cosiddetti "Trust Domains" (TD). Si tratta di macchine virtuali isolate a livello hardware, protette crittograficamente dall'infrastruttura di hosting attraverso la modalità di arbitrato sicuro, nota come Intel Secure Arbitration Mode (SEAM).

Il funzionamento del sistema dipende strettamente dal modulo Intel TDX, che opera all'interno di SEAM. Tale componente applica politiche di sicurezza che l'hardware da solo non potrebbe gestire. Poiché una compromissione di questo modulo potrebbe teoricamente invalidare le garanzie di isolamento del sistema, la sua verifica risulta essere un obiettivo prioritario.

L'indagine congiunta ha preso di mira specificamente le caratteristiche complesse introdotte con la versione 1.5 del modulo: l'attenzione degli esperti si è focalizzata su Live Migration e TD Partitioning. La prima consente lo spostamento di una macchina virtuale crittografata tra server fisici differenti senza interrompere le operazioni e, soprattutto, senza esporre le chiavi all'hypervisor, considerato non affidabile. La seconda permette la creazione di macchine virtuali nidificate all'interno di un Trust Domain, aggiungendo livelli di astrazione che necessitano di controlli rigorosi.

Per analizzare queste componenti, il team di Google ha adottato un approccio ibrido. Oltre alla revisione manuale del codice e all'impiego di strumenti personalizzati per la ricerca di bug, è stata utilizzata l'analisi tramite intelligenza artificiale con Gemini Pro per individuare difetti logici.

La partnership evidenzia una tendenza industriale definibile come "co-validazione". Poiché le tecnologie fondamentali costituiscono la base dell'infrastruttura cloud globale, i fornitori tendono sempre più a invitare partner di rilievo per revisionare il codice prima di un'implementazione su vasta scala. Intel ha commentato il rapporto affermando che nessun prodotto può essere considerato assolutamente sicuro, ma che un numero maggiore di revisioni contribuisce a rafforzarlo. Per i clienti aziendali, tale processo offre una garanzia superiore: la root of trust hardware viene interrogata attivamente da parti indipendenti, assicurando che la tecnologia sia stata messa alla prova prima di scalare per supportare miliardi di utenti.

Gli aggiornamenti correttivi sono stati integrati nel rilascio del modulo Intel TDX 1.5, distribuito contestualmente alle recenti patch di sicurezza. Le vulnerabilità, sebbene numerose nel conteggio iniziale, sono state affrontate con un approccio sistematico che ha permesso di chiudere le falle prima di una possibile esposizione pubblica dannosa.