פגיעות במעבדי AMD המאפשרת לך לעקוף את מנגנון ההגנה של SEV (Secure Encrypted Virtualization)

חוקרים במרכז הלמהולץ לאבטחת מידע (CISPA) פרסמו שיטת התקפה חדשה של CacheWarp כדי לסכן את מנגנון האבטחה AMD SEV (Secure Encrypted Virtualization) המשמש במערכות וירטואליזציה כדי להגן על מכונות וירטואליות מהפרעות של ה-Hypervisor או מנהל המערכת המארח. השיטה המוצעת מאפשרת לתוקף עם גישה ל-Hypervisor לבצע קוד של צד שלישי ולהסלים הרשאות במכונה וירטואלית המוגנת באמצעות AMD SEV.

המתקפה מבוססת על שימוש בפגיעות (CVE-2023-20592) הנגרמת כתוצאה מפעולה לא נכונה של המטמון במהלך ביצוע הוראת המעבד של INVD, בעזרתה ניתן להשיג אי התאמה של נתונים בזיכרון ובמטמון. , ומעקפים מנגנונים לשמירה על שלמות זיכרון המכונה הווירטואלית, המיושמים על סמך ההרחבות SEV-ES ו- SEV-SNP. הפגיעות משפיעה על מעבדי AMD EPYC מהדור הראשון ועד השלישי.

עבור מעבדי AMD EPYC מהדור השלישי (Zen 3), הבעיה נפתרה בעדכון המיקרוקוד של נובמבר שפורסם אתמול על ידי AMD (התיקון אינו גורם לפגיעה כלשהי בביצועים). עבור הדור הראשון והשני של AMD EPYC (Zen 1 ו-Zen 2), לא ניתנת הגנה, מכיוון שמעבדים אלה אינם תומכים בתוסף SEV-SNP, המספק בקרת שלמות עבור מכונות וירטואליות. הדור הרביעי של מעבדי AMD AMD EPYC "Genoa" המבוססים על מיקרו-ארכיטקטורת "Zen 4" אינו פגיע.

טכנולוגיית AMD SEV משמשת לבידוד מכונות וירטואליות על ידי ספקי ענן כגון Amazon Web Services (AWS), Google Cloud, Microsoft Azure ו-Oracle Compute Infrastructure (OCI). הגנת AMD SEV מיושמת באמצעות הצפנה ברמת החומרה של זיכרון מכונות וירטואליות. בנוסף, ההרחבה SEV-ES (מצב מוצפן) מגינה על אוגרי CPU. רק למערכת האורחת הנוכחית יש גישה לנתונים המפוענחים, וכאשר מכונות וירטואליות אחרות וה-Hypervisor מנסים לגשת לזיכרון זה, הם מקבלים סט מוצפן של נתונים.

הדור השלישי של מעבדי AMD EPYC הציג הרחבה נוספת, SEV-SNP (Secure Nested Paging), המבטיחה פעולה בטוחה של טבלאות דפי זיכרון מקוננות. בנוסף להצפנת זיכרון כללית ובידוד רישום, SEV-SNP מיישם אמצעים נוספים להגנה על שלמות הזיכרון על ידי מניעת שינויים ב-VM על ידי ה-Hypervisor. מפתחות ההצפנה מנוהלים בצד של מעבד PSP (Platform Security Processor) נפרד המובנה בשבב, המיושם על בסיס ארכיטקטורת ARM.

המהות של שיטת ההתקפה המוצעת היא להשתמש בהוראה של INVD כדי לבטל בלוקים (שורות) במטמון של דפים מלוכלכים מבלי לזרוק את הנתונים שהצטברו במטמון לזיכרון (כתיבה חזרה). לפיכך, השיטה מאפשרת לך להוציא נתונים שהשתנו מהמטמון מבלי לשנות את מצב הזיכרון. כדי לבצע תקיפה, מוצע להשתמש בחריגי תוכנה (הזרקת תקלות) כדי להפסיק את פעולת המכונה הוירטואלית בשני מקומות: מלכתחילה, התוקף קורא להוראה "wbnoinvd" כדי לאפס את כל פעולות הכתיבה בזיכרון שנצברו ב- המטמון, ובמקום השני קורא להוראה "invd" להחזרת פעולות כתיבה שלא משתקפות בזיכרון למצב הישן.

כדי לבדוק נקודות תורפה במערכות שלך, פורסם אב טיפוס של ניצול המאפשר לך להכניס חריג למכונה וירטואלית המוגנת באמצעות AMD SEV ולהחזיר שינויים ב-VM שלא אופסו לזיכרון. ניתן להשתמש בהחזרה לאחור של שינוי כדי לשנות את זרימת התוכנית על ידי החזרת כתובת החזרה ישנה בערימה, או להשתמש בפרמטרי הכניסה של הפעלה ישנה שאומתה בעבר על ידי החזרת ערך תכונת אימות.

לדוגמה, חוקרים הדגימו את האפשרות להשתמש בשיטת CacheWarp כדי לבצע מתקפת Bellcore על הטמעת אלגוריתם RSA-CRT בספריית ipp-crypto, שאיפשרה לשחזר את המפתח הפרטי באמצעות החלפת שגיאות בעת חישוב דיגיטלי. חֲתִימָה. זה גם מראה כיצד ניתן לשנות את פרמטרי אימות ההפעלה ל-OpenSSH בעת חיבור מרחוק למערכת אורח, ולאחר מכן לשנות את מצב האימות בעת הפעלת תוכנית השירות sudo כדי לקבל זכויות שורש באובונטו 20.04. הניצול נבדק על מערכות עם מעבדי AMD EPYC 7252, 7313P ו-7443.

מקור: OpenNet.ru