Атака CacheWarp на AMD SEV опасна для зашифрованных виртуалок

Атака CacheWarp на AMD SEV опасна для зашифрованных виртуалок

Атака CacheWarp на AMD SEV опасна для зашифрованных виртуалок

Специалисты рассказали о новом векторе атаки на AMD Secure Encrypted Virtualization (SEV) под кодовым именем CacheWarp, который можно использовать для компрометации виртуальных машин и повышения прав в системе.

CacheWarp получила идентификатор CVE-2023-20592, её обнаружили эксперты Грацского технического университета и Центра информационной безопасности CISPA имени Гельмгольца.

Согласно описанию, CacheWarp затрагивает процессоры AMD, поддерживающие любую вариацию технологии SEV — «безопасная зашифрованная виртуализация».

«В новом исследовании мы специально сосредоточились на новейшей среде доверенного выполнения AMD (Trusted Execution Environment, TEE) — AMD SEV-SNP, беря за основу предыдущие атаки на Intel TEE», — объясняют специалисты.

«Нам удалось выяснить, что инструкция INVD, которая очищает содержимое кеша процессора, может быть использована для атаки на AMD SEV».

Расширение архитектуры AMD-V в виде SEV разработчики представили в 2016 году. Его задача — изоляция виртуальных машин от гипервизора, для чего используется шифрование содержимого памяти виртуальной машины с уникальным ключом. Смысл в том, чтобы защитить виртуалку от вредоносного гипервизора.

CacheWarp, по словам исследователей, позволяет условному атакующему нивелировать защитный слой и добиться повышения прав в системе, а в каких-то случаях и удалённого выполнения кода.

 

«Инструкция INVD дропает весь модифицированный контент в кеше, не записывая его обратно в память. Это приводит к возможности сбросить любые записи гостя на виртуальной машине. В отчёте мы демонстрируем эксплуатацию с помощью двух примитивов: “timewarp“ и “dropforge“».

AMD уже успела выпустить обновление микрокода, устраняющее описанную проблему.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

KB5062660 добавило в Windows чёрный экран смерти и автовосстановление ОС

Microsoft выпустила предварительное обновление KB5062660 для Windows 11 версии 24H2. В нём — аж 29 новых фич и изменений. Обновление пока необязательное (то есть ставить его — по желанию), и большинство нововведений будет раскатываться постепенно. Но уже можно взглянуть на кое-что интересное.

Главное — новые функции в рамках инициативы Windows Resiliency Initiative. Это программа Microsoft, направленная на то, чтобы система быстрее приходила в себя после сбоев.

Теперь в Windows 11 есть:

  • Чёрный экран смерти (Black Screen of Death) — новый вариант привычного синего экрана, который вы можете увидеть при серьёзной ошибке. Видимо, Microsoft решила, что чёрный цвет — это серьёзнее.
  • Быстрое восстановление машины (Quick Machine Recovery) — функция, которая должна помогать системе автоматически возвращаться к рабочему состоянию после фатальных сбоев. Включается через Параметры > Система > Восстановление.

Как установить обновление? Если хотите попробовать всё прямо сейчас, надо зайти в Параметры > Центр обновления Windows и нажать «Проверить наличие обновлений».

Апдейт необязательный, так что система предложит нажать «Скачать и установить». Если включена опция «Получать обновления как только они доступны», он установится сам.

Также его можно вручную скачать с сайта Microsoft Update Catalog. KB5062660 — это превью-обновление за июль. Финальная версия с этими функциями (и, возможно, ещё с парой новых) появится в августе, в рамках традиционного Patch Tuesday.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru