Riċerkaturi fiċ-Ċentru Helmholtz għas-Sigurtà tal-Informazzjoni (CISPA) ippubblikaw metodu ġdid ta 'attakk CacheWarp biex jikkomprometti l-mekkaniżmu ta' sigurtà AMD SEV (Secure Encrypted Virtualization) użat fis-sistemi ta 'virtwalizzazzjoni biex jipproteġi magni virtwali minn interferenza mill-hypervisor jew amministratur tas-sistema ospitanti. Il-metodu propost jippermetti attakkant b'aċċess għall-hypervisor biex jesegwixxi kodiċi ta 'parti terza u teskala l-privileġġi f'magna virtwali protetta bl-użu ta' AMD SEV.
L-attakk huwa bbażat fuq l-użu ta 'vulnerabbiltà (CVE-2023-20592) ikkawżata minn tħaddim ħażin tal-cache waqt l-eżekuzzjoni tal-istruzzjoni tal-proċessur INVD, li bl-għajnuna tagħha huwa possibbli li tinkiseb nuqqas ta' qbil tad-dejta fil-memorja u l-cache. , u mekkaniżmi ta 'bypass għaż-żamma tal-integrità tal-memorja tal-magni virtwali, implimentati abbażi tal-estensjonijiet SEV-ES u SEV-SNP. Il-vulnerabbiltà taffettwa l-proċessuri AMD EPYC mill-ewwel sat-tielet ġenerazzjoni.
Għall-proċessuri AMD EPYC tat-tielet ġenerazzjoni (Zen 3), il-kwistjoni hija solvuta fl-aġġornament tal-mikrokodiċi ta 'Novembru rilaxxat ilbieraħ minn AMD (ir-tiswija ma tirriżultax f'xi degradazzjoni tal-prestazzjoni). Għall-ewwel u t-tieni ġenerazzjonijiet ta 'AMD EPYC (Zen 1 u Zen 2), il-protezzjoni mhix ipprovduta, peress li dawn is-CPUs ma jappoġġjawx l-estensjoni SEV-SNP, li tipprovdi kontroll ta' integrità għal magni virtwali. Ir-raba 'ġenerazzjoni ta' proċessuri AMD AMD EPYC "Genoa" ibbażati fuq il-mikroarkitettura "Zen 4" mhix vulnerabbli.
It-teknoloġija AMD SEV tintuża għall-iżolament tal-magni virtwali minn fornituri tal-cloud bħal Amazon Web Services (AWS), Google Cloud, Microsoft Azure u Oracle Compute Infrastructure (OCI). Il-protezzjoni AMD SEV hija implimentata permezz ta 'kriptaġġ fil-livell tal-hardware tal-memorja tal-magni virtwali. Barra minn hekk, l-estensjoni SEV-ES (Stat Encrypted) tipproteġi r-reġistri tas-CPU. Is-sistema tal-mistieden attwali biss għandha aċċess għad-dejta decrypted, u meta magni virtwali oħra u l-hypervisor jippruvaw jaċċessaw din il-memorja, jirċievu sett ta 'dejta encrypted.
It-tielet ġenerazzjoni ta 'proċessuri AMD EPYC introduċiet estensjoni addizzjonali, SEV-SNP (Secure Nested Paging), li tiżgura tħaddim sikur tat-tabelli tal-paġna tal-memorja nested. Minbarra l-kriptaġġ tal-memorja ġenerali u l-iżolament tar-reġistru, SEV-SNP jimplimenta miżuri addizzjonali biex jipproteġi l-integrità tal-memorja billi jipprevjeni bidliet fil-VM mill-hypervisor. Iċ-ċwievet ta 'encryption huma ġestiti fuq in-naħa ta' proċessur separat PSP (Platform Security Processor) mibni fiċ-ċippa, implimentat fuq il-bażi ta 'arkitettura ARM.
L-essenza tal-metodu ta 'attakk propost hija li tuża l-istruzzjoni INVD biex tinvalida blokki (linji) fil-cache ta' paġni maħmuġin mingħajr ma titfa' d-dejta akkumulata fil-cache fil-memorja (write-back). Għalhekk, il-metodu jippermettilek li tkeċċi data mibdula mill-cache mingħajr ma tbiddel l-istat tal-memorja. Biex twettaq attakk, huwa propost li jintużaw eċċezzjonijiet tas-softwer (injezzjoni tal-ħsarat) biex tinterrompi l-operat tal-magna virtwali f'żewġ postijiet: fl-ewwel lok, l-attakkant isejjaħ l-istruzzjoni "wbnoinvd" biex jerġa 'jissettja l-operazzjonijiet kollha tal-kitba tal-memorja akkumulati f' il-cache, u fit-tieni post isejjaħ l-istruzzjoni "invd" biex tirritorna operazzjonijiet ta 'kitba mhux riflessi fil-memorja għall-istat l-antik.
Biex tiċċekkja s-sistemi tiegħek għall-vulnerabbiltajiet, ġie ppubblikat prototip ta 'sfruttament li jippermettilek li ddaħħal eċċezzjoni f'magna virtwali protetta permezz ta' AMD SEV u ġġib lura l-bidliet fil-VM li ma ġewx reset għall-memorja. It-tkeċċija ta 'bidla tista' tintuża biex tinbidel il-fluss ta 'programm billi tirritorna indirizz antik tar-ritorn fuq il-munzell, jew biex tuża l-parametri tal-login ta' sessjoni l-qadima li qabel kienet awtentikata billi jirritorna valur ta 'attribut ta' awtentikazzjoni.
Pereżempju, ir-riċerkaturi wrew il-possibbiltà li jużaw il-metodu CacheWarp biex iwettqu attakk Bellcore fuq l-implimentazzjoni tal-algoritmu RSA-CRT fil-librerija ipp-crypto, li għamilha possibbli li tiġi rkuprata ċ-ċavetta privata permezz ta 'sostituzzjoni ta' żball meta tiġi kkalkulata diġitali. firma. Juri wkoll kif tista 'tbiddel il-parametri ta' verifika tas-sessjoni għal OpenSSH meta tikkonnettja mill-bogħod ma 'sistema mistieden, u mbagħad tibdel l-istat ta' verifika meta tħaddem l-utilità sudo biex tikseb id-drittijiet tal-għeruq f'Ubuntu 20.04. L-isfruttament ġie ttestjat fuq sistemi bi proċessuri AMD EPYC 7252, 7313P u 7443.
Sors: opennet.ru