I ricercatori di u Helmholtz Center for Information Security (CISPA) anu publicatu un novu metudu d'attaccu CacheWarp per cumprumette u mecanismu di sicurezza AMD SEV (Secure Encrypted Virtualization) utilizatu in i sistemi di virtualizazione per prutege e macchine virtuali da l'interferenza da l'ipervisore o l'amministratore di u sistema host. U metudu prupostu permette à un attaccu cù accessu à l'ipervisore per eseguisce codice di terzu è scalate privilegi in una macchina virtuale prutetta cù AMD SEV.
L'attaccu hè basatu annantu à l'usu di una vulnerabilità (CVE-2023-20592) causata da un funziunamentu incorrectu di u cache durante l'esekzione di l'istruzzioni di u processatore INVD, cù l'aiutu di quale hè pussibule di ottene una discrepanza di dati in memoria è cache. , è i meccanismi di bypass per mantene l'integrità di a memoria di a macchina virtuale, implementatu basatu annantu à l'estensioni SEV-ES è SEV-SNP. A vulnerabilità afecta i processori AMD EPYC da a prima à a terza generazione.
Per i prucessori AMD EPYC di terza generazione (Zen 3), u prublema hè risolta in l'aghjurnamentu di u microcode di nuvembre liberatu ieri da AMD (a correzione ùn hà micca risultatu in alcuna degradazione di u rendiment). Per a prima è a seconda generazione di AMD EPYC (Zen 1 è Zen 2), a prutezzione ùn hè micca furnita, postu chì sti CPU ùn sustene micca l'estensione SEV-SNP, chì furnisce u cuntrollu di integrità per e macchine virtuali. A quarta generazione di processori AMD AMD EPYC "Genoa" basatu nantu à a microarchitettura "Zen 4" ùn hè micca vulnerabile.
A tecnulugia AMD SEV hè aduprata per l'isolamentu di a macchina virtuale da i fornitori di nuvola cum'è Amazon Web Services (AWS), Google Cloud, Microsoft Azure è Oracle Compute Infrastructure (OCI). A prutezzione AMD SEV hè implementata per mezu di a criptografia à livellu di hardware di a memoria di a macchina virtuale. Inoltre, l'estensione SEV-ES (Statu Encrypted) pruteghja i registri CPU. Solu u sistema d'ospiti attuale hà accessu à i dati decriptati, è quandu l'altri machini virtuali è l'ipervisore pruvate d'accede à sta memoria, ricevenu un inseme di dati criptati.
A terza generazione di processori AMD EPYC hà introduttu una estensione supplementaria, SEV-SNP (Secure Nested Paging), chì assicura l'operazione sicura di e tabelle di pagina di memoria nidificate. In più di a criptografia di memoria generale è l'isolamentu di u registru, SEV-SNP implementa misure supplementari per prutege l'integrità di a memoria impediscendu cambiamenti à a VM da l'ipervisore. I chjavi di criptografia sò gestiti da u latu di un processore separatu PSP (Platform Security Processor) integratu in u chip, implementatu nantu à a basa di l'architettura ARM.
L'essenza di u metudu di attaccu prupostu hè di utilizà l'istruzzioni INVD per invalidà i blocchi (line) in u cache di e pagine brutte senza dumping i dati accumulati in a cache in memoria (scrittura-back). Cusì, u metudu permette di evict dati cambiatu da a cache senza cambià u statu di memoria. Per fà un attaccu, hè prupostu di utilizà l'eccezzioni di u software (injezione di difettu) per interrompe l'operazione di a macchina virtuale in dui posti: in u primu locu, l'attaccante chjama l'istruzzioni "wbnoinvd" per resettate tutte l'operazioni di scrittura di memoria accumulate in u cache, è in u sicondu locu chjama l'istruzzioni "invd" per rinvià l'operazioni di scrittura micca riflesse in memoria à u vechju statu.
Per verificà i vostri sistemi per vulnerabilità, hè statu publicatu un prototipu di sfruttamentu chì vi permette di inserisce una eccezzioni in una macchina virtuale prutetta via AMD SEV è rinvià i cambiamenti in a VM chì ùn sò micca stati resettati in memoria. U rollback di un cambiamentu pò esse usatu per cambià u flussu di un prugramma rinviendu un vechju indirizzu di ritornu nantu à a pila, o per utilizà i paràmetri di login di una vechja sessione chì era previamente autentificata rinviendu un valore d'attributu d'autentificazione.
Per esempiu, i circadori anu dimustratu a pussibilità di usà u metudu CacheWarp per realizà un attaccu Bellcore à l'implementazione di l'algoritmu RSA-CRT in a biblioteca ipp-crypto, chì hà permessu di ricuperà a chjave privata per via di a sostituzione d'errore in u calculu di un digitale. firma. Mostra ancu cumu pudete cambià i paràmetri di verificazione di sessione à OpenSSH quandu si cunnetta remotamente à un sistema invitatu, è poi cambià u statu di verificazione quandu eseguite l'utilità sudo per acquistà diritti di root in Ubuntu 20.04. U sfruttamentu hè statu pruvatu nantu à i sistemi cù processori AMD EPYC 7252, 7313P è 7443.
Source: opennet.ru