Атака CacheWarp на AMD SEV опасна для зашифрованных виртуалок

Атака CacheWarp на AMD SEV опасна для зашифрованных виртуалок

Атака CacheWarp на AMD SEV опасна для зашифрованных виртуалок

Специалисты рассказали о новом векторе атаки на AMD Secure Encrypted Virtualization (SEV) под кодовым именем CacheWarp, который можно использовать для компрометации виртуальных машин и повышения прав в системе.

CacheWarp получила идентификатор CVE-2023-20592, её обнаружили эксперты Грацского технического университета и Центра информационной безопасности CISPA имени Гельмгольца.

Согласно описанию, CacheWarp затрагивает процессоры AMD, поддерживающие любую вариацию технологии SEV — «безопасная зашифрованная виртуализация».

«В новом исследовании мы специально сосредоточились на новейшей среде доверенного выполнения AMD (Trusted Execution Environment, TEE) — AMD SEV-SNP, беря за основу предыдущие атаки на Intel TEE», — объясняют специалисты.

«Нам удалось выяснить, что инструкция INVD, которая очищает содержимое кеша процессора, может быть использована для атаки на AMD SEV».

Расширение архитектуры AMD-V в виде SEV разработчики представили в 2016 году. Его задача — изоляция виртуальных машин от гипервизора, для чего используется шифрование содержимого памяти виртуальной машины с уникальным ключом. Смысл в том, чтобы защитить виртуалку от вредоносного гипервизора.

CacheWarp, по словам исследователей, позволяет условному атакующему нивелировать защитный слой и добиться повышения прав в системе, а в каких-то случаях и удалённого выполнения кода.

 

«Инструкция INVD дропает весь модифицированный контент в кеше, не записывая его обратно в память. Это приводит к возможности сбросить любые записи гостя на виртуальной машине. В отчёте мы демонстрируем эксплуатацию с помощью двух примитивов: “timewarp“ и “dropforge“».

AMD уже успела выпустить обновление микрокода, устраняющее описанную проблему.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Nova Specail Edition получила сертификат ФСТЭК России и 4 уровень доверия

Российский оркестратор контейнеров Nova Container Platform от компании Orion soft получил сертификат соответствия ФСТЭК России № 4943. Сертифицированная версия под названием Nova Container Platform Special Edition теперь обладает всей функциональностью базовой редакции, но при этом соответствует требованиям четвёртого уровня доверия.

Редакция предназначена для использования в системах, где требуется повышенный уровень информационной безопасности:

  • в автоматизированных системах управления технологическими процессами (АСУ ТП) до 1 класса защищённости;
  • в государственных информационных системах (ГИС) до 1 класса защищённости;
  • при работе с персональными данными до 1 уровня защищённости;
  • на значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории значимости.

Речь идёт, в частности, о таких сферах, как нефтегаз, оборонная промышленность, металлургия, атомная энергетика, финансы и медицина.

Среди функций сертифицированной версии — сканирование контейнерных образов на наличие уязвимостей, контроль целостности, управление доступом, идентификация и аутентификация пользователей, сбор и регистрация событий безопасности, а также централизованное управление контейнерами.

Nova Container Platform поддерживает работу в изолированных средах, развёртывание на российских операционных системах и входит в реестр отечественного ПО. Платформа также интегрирована с другими продуктами Orion soft, включая систему виртуализации zVirt.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru