文章总结： 本文发表于USENIXSecurity’26，首次系统性评估IntelXeon处理器非核心性能监控计数器(UncorePMCs)在SGX环境下的安全性。研究发现UncorePMCs在飞地执行时仍会记录敏感内存事件，利用此漏洞实现了名为UncoreBleed的新型侧信道攻击。该攻击无需触发异步飞地退出(AEX)，即可在64字节粒度下低噪声追踪内存行为，成功从飞地内复原图像并单次解密提取RSA私钥。研究揭示了硬件安全审计需从核心扩展至全芯片范围，并表明传统依赖控制流中断的防御机制已失效。 综合评分： 94 文章分类： 漏洞分析,二进制安全,云安全,数据安全,应用安全

G.O.S.S.I.P 阅读推荐 2026-06-24 UncoreBleed：窃取 SGX 安全飞地内图像和密钥的非中断侧信道攻击

安全研究GoSSIP

2026年6月24日 20:29 上海

在小说阅读器读本章

去阅读

以下文章来源于COMPASS Lab ，作者jidle

COMPASS Lab .

COMPASS (COMPuter And Systems Security) lab pursues cutting-edge research in systems security (compass.sustech.edu.cn).

本文发表于安全顶会 USENIX Security ’26，对现代化处理器中的非核心性能监控计数器（Uncore PMCs, Performance Monitoring Counters）在 Intel SGX 环境下的安全性进行了系统性评估。研究团队打破了业界长期以来认为“SGX 能够完全抑制或禁用性能监控以防御侧信道攻击”的传统认知。研究发现，现代化服务器 CPU 的 Uncore PMC 依然会记录与Enclave相关的敏感内存事件。利用网格到内存子系统中的一个关键非核心事件，研究者实现了一种名为UncoreBleed的新型侧信道攻击，无需触发任何异步飞地退出（AEX, Asynchronous Enclave eXit），即可在 64 字节粒度下以极低的噪声追踪内存行为，成功从 Enclave 内部复原图像，并实现单次解密提取 RSA 私钥。

1. 问题及动机

可信执行环境（TEE）如 Intel SGX，通过提供强大的硬件内存隔离与加密，将不受信任的操作系统和 Hypervisor 排除在可信计算基（TCB）之外。然而，基于时序、缓存等微架构的侧信道攻击始终威胁着安全飞地内数据的机密性。为了缓解这类风险，硬件厂商及先前研究普遍声称，当 CPU 进入 Enclave 执行模式时，敏感的硬件性能监控计数器（PMCs）将被禁用或抑止，从而切断攻击者通过高精度计数器窃取信息的路径。

然而，这些防御策略主要针对的是核心内部性能计数器（Core PMCs）。随着多核服务器体系结构的发展，处理器中包含了大量独立于计算核心之外的共享互联结构与内存控制器（即 Uncore 子系统）。这些非核心子系统同样配备了独立的监控计数器（Uncore PMCs），用于记录跨核心网格（Mesh）通信或内存控制器的公共事件。

本文的出发点在于填补这一漏洞评估盲区：现代生产模式下的 Intel Xeon 处理器中，Uncore PMCs 是否真正对 SGX 安全飞地进行了完全的审计隔离？实验表明，这些处于核心之外的公共计数器在 Enclave 运行时不仅保持启用，还会高精确度地将物理地址空间的网格路由事件泄露给拥有系统特权的特权级攻击者，彻底规避了现有针对控制流中断（如 AEX）的防御缓解机制。

2. 设计及实现

信道发现与逆向工程（Event Identification）： 研究人员首先对多款支持 SGX 的 Intel Xeon 处理器进行了系统性排查。他们发现在网格到内存（Mesh-to-Memory, M2M）子系统中存在特定的流量计数器，其过滤机制（Filtering Mechanism）和地址映射规律能暴露出飞地访存时请求被路由到特定内存控制器的次数。通过对该计数器事件的控制寄存器进行微调，攻击者能够提取出跨片访问的细粒度特征。

实现无 AEX 采样（AEX-Free Sampling）： 传统的精细侧信道攻击（如单步调试攻击 SGX-Step）需要依靠高频中断强制触发 AEX 退出。这会引入高昂的上下文切换开销，并极易被目前厂商推行的机制（如 AEX-Notify）检测捕获。相比之下，UncoreBleed 完全不需要对 Enclave 进程进行任何中断阻断，攻击者只需在旁路核心上高频轮询读取 Uncore PMC 的 MSR 寄存器数值，即可在不打扰受害者执行的前提下，捕获其访存的时序泄露踪迹。

64 字节高分辨率地址解码（High-Resolution Mapping）： 为了将宏观的 Uncore PMC 读数转换为精确的代码或数据定位，研究团队通过对 Xeon 处理器内部网格架构（Mesh Architecture）及内存控制器的交织寻址机制（Interleaving）进行了深入的逆向工程。他们建立了一套确定的映射公式，成功证明了特定的网格事件计数能够唯一锁定 64 字节（即一个 Cache Line 边界）粒度的物理内存访问。

低噪声数据平滑与对齐（Trace Alignment）： 由于 UncorePMC 属于全局共享资源，不可信操作系统的非敏感背景流量会带来一定的噪声。UncoreBleed 通过设计针对性的多路踪迹交叉比对与滑动窗口平滑算法，能够有效滤除非 Enclave 的杂音，提取出极高信噪比的业务执行踪迹。

3. 实验及评估

研究人员在生产模式下的多款 Intel Xeon 服务器处理器上对 UncoreBleed 发起了实弹漏洞测试。

飞地内图像复原攻击（Libjpeg Image Reconstruction）： 在第一个评估案例中，受害者在 SGX 飞地内使用常用的 Libjpeg 开源库对隐私图片进行解码。由于 Libjpeg 在处理不同像素块、霍夫曼编码表时存在严重的数据依赖性访存分支，UncoreBleed 通过在旁路监听到的 64B 粒度内存流踪迹，成功反向推断出了图像像素的分布特征，恢复出了高保真度的原始图像。

密码学 RSA 私钥单次提取（Single-Decryption RSA Key Extraction）： 在第二个安全危害评估中，受害者在飞地内部执行 RSA  decryption（解密）操作。由于平方-乘（Square-and-Multiply）等经典算法实现中包含分支跳转或依赖于密钥比特位的数据访问模式，UncoreBleed 能够直接捕获对应 64B 内存块的访问差异。实验结果表明，攻击者无需像传统缓存攻击那样收集成千上万次运行样本，仅仅通过单次（Single-Decryption）的解密踪迹捕获，就足以完整恢复出 RSA 的私钥关键比特。

4. 思考及启示

作为首个成功利用硬件 Uncore PMC 突破现代化机密计算飞地（SGX）硬件隔离边界的侧信道研究，UncoreBleed 为可信计算安全领域的发展带来了非常深刻的启示：

硬件安全审计边界的局限：长期以来，微架构安全的研究和厂商的修补措施大多深耕于“核心内部（Core-level）”特征，认为只要防住了核心内的分支预测器（如 Spectre）、禁用核心内 PMC、阻断硬件单步 APIC 中断（如 AEX-Notify），安全飞地就能安然无恙。然而，UncoreBleed 表明，现代 CPU 作为一个高度集成的片上系统（SoC），核心外的共享网格总线、三级缓存子系统以及内存控制器中隐藏了同样甚至更敏感的全局状态泄露漏口。硬件设计厂商在未来的机密计算演进中，必须引入全芯片视角的硬件安全审计（System-wide Hardening），将隔离与禁用机制从计算核心全面推向非核心（Uncore）外围架构。

传统“控制流中断防御”的忽略：先前应对侧信道的软件和硬件缓解方案，高度依赖于对“高频系统中断、特权页表频繁切换（Controlled-channel）或异常退出行为”的监控。而 UncoreBleed 的最大威胁在于其“纯被动”的特性（AEX-Free）。它既不改写目标页表，也不强制飞地进程挂起，让现存所有的 AEX 行为感知防御策略直接失效。这启示安全学界：未来的侧信道防御必须加强恒定时间执行（Constant-time Execution）或硬件底层的动态物理地址乱序混淆（Address Obfuscation），来消除敏感数据与系统总线流量之间的关联性。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全研究GoSSIP 《G.O.S.S.I.P 阅读推荐 2026-06-24 UncoreBleed：窃取 SGX 安全飞地内图像和密钥的非中断侧信道攻击》