Autores: Kirk Swidowski, ingeniero de seguridad de la información; Daniel Moghimi, científico investigador sénior; Josh Eads, ingeniero de seguridad de la información; Erdem Aktas, ingeniero de software de plantilla, y Jia Ma, gerente de ingeniería de software.
Hoy, en coordinación con el aviso de seguridad de Intel, publicamos los resultados de nuestra revisión de seguridad conjunta de Intel Trust Domain Extensions (TDX) 1.5. Identificamos cinco vulnerabilidades, que Intel ha remediado, y otros 35 errores, debilidades y sugerencias de mejora.
Nuestra investigación amplía la revisión anterior de Google al cubrir cambios importantes desde Intel TDX 1.0, y contribuye a los esfuerzos más amplios de la comunidad para asegurar componentes críticos en el espacio de la computación confidencial (1, 2, 3, 4, 5, 6, 7).
Aunque la computación confidencial tiene como objetivo minimizar la Base de Computación Confiable (TCB, por sus siglas en inglés), la integridad de esa TCB requiere una validación rigurosa. En un mundo perfecto, la TCB estaría libre de errores; en realidad, la complejidad de los sistemas modernos hace que la evaluación continua sea esencial. Las revisiones colaborativas permiten a los líderes de la industria corregir vulnerabilidades de forma proactiva, al tiempo que fomentan la transparencia para todos los que dependen de la tecnología. Además, cuando se requiere una remediación, una tecnología robusta permite actualizaciones oportunas, minimiza las interrupciones y los clientes pueden dar fe de los cambios una vez que se confirma que cumplen con su política de seguridad.
Nuestra asociación con el equipo INT31 de Intel durante esta revisión nos permitió ponernos al día rápidamente sobre los cambios, validar la comprensión, reportar errores en tiempo real y validar las remediaciones.
El contexto
Las Máquinas Virtuales Confidenciales (CVM, por sus siglas en inglés), como las que habilita Intel TDX, son esenciales para avanzar en los servicios modernos de seguridad y privacidad porque ofrecen un Entorno de Ejecución Confiable (TEE, por sus siglas en inglés) reforzado por hardware. Esto garantiza que los datos y el código sensibles permanezcan aislados incluso durante la ejecución.
La introducción de la versión 1.5 de TDX trae nuevas características significativas como la Migración en Vivo (Live Migration) y el Particionamiento de Dominios de Confianza (TD), a través de VM anidadas, que inherentemente expanden la Base de Computación Confiable (TCB) para TDX. Esta expansión se evidencia por la adición de 34,862 líneas de código al firmware del módulo TDX, incluyendo más de 8,000 líneas asociadas con la migración de metadatos y la gestión de estado. Realizamos esta evaluación en un momento crítico, que abarcó desde la primavera hasta el otoño de 2025, después de que TDX 1.5 se lanzara públicamente pero antes de que fuera ampliamente adoptado por los Proveedores de Servicios en la Nube.
Nos centramos en una revisión exhaustiva de la API de los cambios desde TDX 1.0, aumentándola con herramientas de análisis estático y el desarrollo de TDXplore, un marco de experimentación a medida basado en Python para explorar flujos complejos y casos límite. Aprovechamos Gemini 2.5 Pro y NotebookLM para navegar por las especificaciones técnicas y ayudar con el análisis.
Resultado
Este esfuerzo resultó en la identificación y posterior remediación de múltiples vulnerabilidades y errores. También recomendamos varios cambios en el código, medidas de defensa en profundidad y mejoras arquitectónicas, como la Desactivación Global Atestable de Características (Attestable Global Feature Disablement), que de implementarse limitaría el crecimiento de la superficie de ataque al permitir que un host habilite solo las características e interfaces utilizadas durante la inicialización del Módulo TDX.
Lo más significativo es que nuestra investigación descubrió una vulnerabilidad que habría permitido a un operador no confiable comprometer por completo las garantías de seguridad de TDX.
Específicamente, CVE-2025-30513 es capaz de convertir un TD migrable en un TD depurable durante el proceso de migración. Un host puede explotar una vulnerabilidad de Tiempo de Comprobación a Tiempo de Uso (Time-of-Check to Time-of-Use, TOCTOU) para cambiar los atributos del TD de migrable a depurable mientras su estado inmutable está siendo importado. Una vez activado, todo el estado descifrado del TD es accesible desde el host. En este punto, un host malicioso podría construir otro TD con el estado descifrado o realizar actividades de monitoreo en vivo. Debido a que una migración puede ocurrir en cualquier momento durante el ciclo de vida del TD, este ataque se puede realizar después de que un TD haya completado la atestación, asegurando que material secreto esté presente en su estado.
Esta vulnerabilidad se descubrió hacia el final de nuestro esfuerzo de investigación, después de un extenso análisis estático y el desarrollo del kit de herramientas TDXplore. Fue el resultado de nuestra auditoría de la API, que proporcionó el contexto necesario para identificar un fallo en la gestión del ciclo de vida del TD por parte del Módulo TDX. Observamos una desconexión crítica entre cómo se rastreaba la Máquina de Estados Finitos (FSM) op_state del TD, cómo se podían interrumpir las actividades de importación y cómo el estado del TD se modifica pero no se revierte cuando se encuentran fallos.
Trabajando con Intel
El marco de colaboración entre Intel y Google se acordó antes del proyecto y se basó en nuestro historial previo de cooperación. Utilizamos una plataforma compartida de seguimiento de incidencias como un centro centralizado para reportar hallazgos y realizar preguntas y respuestas técnicas, con reuniones de sincronización semanales para discutir el progreso. Este contacto frecuente aseguró que los hallazgos se reportaran rápidamente y que las preguntas técnicas pudieran ser abordadas por ingenieros de Intel con conocimiento del dominio. Se utilizó código fuente de acceso público, documentación de arquitectura y un módulo TDX de producción para la investigación y el desarrollo.
Al final del proyecto, Intel asignó rápidamente los CVEs, y trabajamos con ellos para desarrollar un cronograma de divulgación responsable. Para abordar las vulnerabilidades y errores identificados, fue necesario actualizar el módulo TDX, lo cual es altamente disruptivo para los entornos de producción (la Preservación de TD y la Migración en Vivo ayudan a mitigar las interrupciones en futuras actualizaciones). Los nuevos Módulos TDX estuvieron disponibles dentro del período típico de divulgación pública de 90 días, pero los clientes necesitaron tiempo para probar, calificar y desplegar de manera segura la solución en su infraestructura, lo que extendió el plazo de divulgación pública a unos 180 días. Por último, algunos de los elementos identificados (correcciones de errores menos críticos y algunas debilidades de seguridad) no están incluidos en la versión de febrero de 2026, pero se espera que se aborden en lanzamientos posteriores.
Conclusión
Esta investigación ilustra por qué es de vital importancia que los líderes en la industria de la Computación Confidencial (CC) realicen continuamente revisiones de seguridad. Intel TDX 1.5 introduce nuevas características y funcionalidades que acercan significativamente la computación confidencial a la paridad de características con las soluciones de virtualización tradicionales. Al mismo tiempo, estas características han aumentado la complejidad de un componente de software altamente privilegiado en la TCB.
La participación de la comunidad en evaluaciones e investigaciones de seguridad crea experiencia en el ecosistema. Con este fin, estamos contribuyendo de nuevo a la comunidad a través de la publicación del libro blanco técnico que discute los hallazgos de nuestra revisión de seguridad, el código fuente del kit de herramientas de exploración y pruebas de concepto para dos de las vulnerabilidades divulgadas. También hemos escrito una publicación de blog que discute la importancia de la atestación y cómo se pueden usar los informes para verificar los atributos asociados con una CVM.
Finalmente, agradecemos la continua colaboración con Intel y nos gustaría agradecer a los siguientes ingenieros de Intel por su colaboración durante esta revisión: Uri Bear, Dror Caspi, Stephen Haruna, Simon Johnson, Nagaraju Kodalapura, Alon Levi, Dhinesh Manoharan, Avishai Redelman, Bernie Reeber, Fahimeh Rezaei, Boaz Tamir y Jonathan Valamehr.
