BadRAM: новый способ обхода защиты памяти ВМ в процессорах AMD EPYC

BadRAM: новый способ обхода защиты памяти ВМ в процессорах AMD EPYC

BadRAM: новый способ обхода защиты памяти ВМ в процессорах AMD EPYC

Университетские исследователи нашли новый способ обхода защитного механизма AMD SEV-SNP. Атака BadRAM требует физического доступа к системе и позволяет выуживать секреты из виртуальных машин клиентов облачных провайдеров.

Примечательно, что обход ограничений доступа к памяти в данном случае требует минимальных капиталовложений. Реализация PoC обошлась экспериментаторам в $10 — столько суммарно стоили Raspberry Pi Pico, DDR-сокет и батарейка на 9 В.

 

Атака BadRAM (PDF) предполагает манипулирование чипом SPD (Serial Presence Detect) в модуле ОЗУ. Этот чип предоставляет информацию о доступной памяти в ходе загрузки системы.

Подмена этих данных (исследователи увеличили реальный объем DIMM в два раза) вынуждает контроллер памяти использовать дополнительные, «призрачные» биты адреса. В результате возникает конфликт доступа к памяти, который можно использовать для извлечения конфиденциальных данных.

О новой возможности обхода SEV-SNP (усовершенствованный SEV с дополнительной защитой от перераспределения памяти с помощью вредоносного гипервизора) было сообщено в AMD. Проблему, актуальную для процессоров EPYC, используемых сервисами AWS, Google, Microsoft, IBM, зарегистрировали как CVE-2024-21944 и решили обновлением прошивок.

Проверки показали, что Intel TDX и SGX (аналоги AMD SEV) атаки BadRAM не страшны. Такой же механизм Arm (CCA), судя по спецификациям, тоже к ним устойчив; удостовериться в этом исследователям не удалось.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В ARMA Industrial Firewall появилась поддержка протокола СПОДЭС

Группа компаний InfoWatch представила обновление промышленного межсетевого экрана ARMA Industrial Firewall до версии 3.15. Новая версия ориентирована на повышение защиты критической инфраструктуры, в том числе промышленных и энергетических объектов.

Главное нововведение — поддержка промышленного протокола СПОДЭС, разработанного ПАО «Россети» для передачи данных с интеллектуальных приборов учёта электроэнергии.

Благодаря глубокой инспекции этого протокола экран способен контролировать и защищать каналы обмена информацией между оборудованием, что особенно актуально на фоне роста кибератак на энергетическую инфраструктуру.

В числе других изменений — автоматическая загрузка индикаторов компрометации (IoC), предоставляемых ФСТЭК России. Ранее такие данные приходилось вводить вручную, теперь же система может оперативно применять защитные меры по поступающим признакам угроз.

Кроме того, в версии 3.15 улучшены инструменты мониторинга и интеграции: реализовано отслеживание состояния системы по протоколу SNMP, добавлен контроль состояния дисков и доработаны функции управления. Это позволяет быстрее обнаруживать сбои и снижать риски простоев.

По словам представителей компании, развитие линейки ARMA связано с ростом числа атак на промышленные сети и необходимостью адаптации решений под требования российских регуляторов и специфику отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru