Google-onderzoek vindt ernstig lek in Intel-chips
Google en Intel hebben de resultaten gepresenteerd van een gezamenlijke veiligheidscontrole van de Intel Trust Domain Extensions (TDX) 1.5. Tijdens dit onderzoek werden vijf kwetsbaarheden en 35 andere softwarefouten ontdekt. Een van deze lekken was zo ernstig dat een kwaadwillende cloudprovider de volledige beveiliging van een 'versleutelde' virtuele machine had kunnen omzeilen.
Het onderzoek richtte zich op Confidential Computing, een technologie die ervoor zorgt dat gevoelige data zelfs tijdens het gebruik (in het geheugen van de processor) versleuteld blijft. Dit is essentieel voor bedrijven die privacygevoelige data in de cloud verwerken, omdat zelfs de beheerder van het datacenter de gegevens dan niet kan inzien.
Uitbreiding brengt risico's met zich mee
De nieuwe versie van Intel TDX (1.5) voegt belangrijke functies toe, zoals Live Migration (het verplaatsen van een draaiende virtuele machine tussen servers) en TD Partitioning. Deze functies maken de technologie gebruiksvriendelijker, maar ook complexer. De onderzoekers stelden vast dat de broncode van de TDX-module met bijna 35.000 regels is gegroeid, wat de kans op kwetsbaarheden vergroot.
Kritiek lek: CVE-2025-30513
De meest significante vondst was een kwetsbaarheid met het kenmerk CVE-2025-30513. Dit lek maakte een zogeheten Time-of-Check to Time-of-Use (TOCTOU) aanval mogelijk.
Een malafide operator van een cloudomgeving zou hiermee de status van een beveiligde virtuele machine kunnen veranderen van 'migreerbaar' naar 'debugbaar' op het exacte moment dat de data wordt geïmporteerd. Hierdoor zou de volledige, gedecodeerde inhoud van de virtuele machine toegankelijk worden voor de host. Omdat dit ook kan gebeuren nadat een gebruiker al geheime gegevens heeft ingevoerd, vormde dit een direct gevaar voor de integriteit van de beveiligde omgeving.
Samenwerking en herstel
Google zette voor het onderzoek geavanceerde middelen in, waaronder hun eigen AI-modellen Gemini 2.5 Pro en NotebookLM, om de complexe technische specificaties te analyseren. Ook ontwikkelden ze TDXplore, een speciaal toolkit om fouten in de logica van de hardware aan het licht te brengen.
Intel heeft inmiddels patches uitgebracht voor de ontdekte lekken. Het proces van openbaarmaking duurde ongeveer 180 dagen, omdat cloudproviders tijd nodig hadden om de updates grondig te testen voordat ze deze op hun wereldwijde infrastructuur uitrolden.
Transparantie voor de community
Beide techreuzen benadrukken dat voortdurende externe controles essentieel zijn voor de veiligheid van de cloud-infrastructuur. Als onderdeel van hun toezegging aan de cybersecurity-gemeenschap hebben de bedrijven een technisch witboek gepubliceerd, evenals de broncode van de gebruikte analysetools en de 'proof-of-concept' codes die aantonen hoe de lekken werkten.
Met deze herstelwerkzaamheden is Intel TDX 1.5 volgens de onderzoekers weer een stap dichter bij volledige gelijkwaardigheid met traditionele virtualisatie, maar dan met de extra beveiligingslaag die moderne privacywetgeving vereist.
Meer over Security
Over Witold Kepinski
