チューリッヒ工科大学の学術研究者が、AMDプロセッサのメモリ管理に脆弱性を発見し、機密コンピューティングの整合性保証を破ることに成功しました。
CVE-2025-0033(CVSSスコア6.0)として追跡されているこの問題は、AMDセキュアプロセッサ(ASP)がリバースマップテーブル(RMP)を初期化する際に発生する競合状態(レースコンディション)として説明されています。
セキュア暗号化仮想化-セキュアネステッドページング(SEV-SNP)を使用するAMDプロセッサでは、RMPがハイパーバイザーによるゲストページマッピングの改ざんを防ぎます。
しかし、RMPエントリがRMP全体を保護するために使われるため、セットアップ時にジレンマが発生し、RMPの初期化はASPによって行われます。RMPメモリを変更できるのはASPのみです。
このセキュリティ欠陥はRMPocalypse(PDF)と名付けられ、悪意あるハイパーバイザーが初期化中にRMPを破損させ、その内容を操作することで、ゲストメモリの整合性に影響を与えることができます。
研究者によると、RMPはSEV-SNPに整合性攻撃を防ぐために追加されており、正しく初期化されることでハイパーバイザーが物理メモリを割り当てて機密VMを起動できます。RMPはページマッピングと各物理ページの所有権を管理します。
現代のサーバーは大容量のDRAMを搭載しているため、RMPも大きく(16ギガバイト)、DRAM上に保存され、SEV-SNPがハイパーバイザーによるRMP所有物理ページのマッピングを防ぐことで自己保護しています。
SEV-SNPを搭載したAMDプロセッサは、ワークロード計算用の複数のx86コアと、x86コアやメモリサブシステムのセキュリティを強制するセキュアコプロセッサ(ASP)を備えています。また、RMP初期化要求時にはハイパーバイザーが提供する構成もチェックします。
研究者らは、ASPが初期化中にRMPを含むメモリを適切に保護していないことを発見し、ハイパーバイザーがRMPメモリに書き込み、エントリを破損させることでSEV-SNPの保証が損なわれることを突き止めました。
研究者はZen 3、Zen 4、最新のZen 5プロセッサでRMPocalypse攻撃をテストし、さまざまなページを上書きできることを実証しました。
「我々の発見の影響を示すため、このギャップを利用してSEV-SNPの機密性および整合性保証を破ります。RMPocalypseの実演では、プロダクションモードCVMでのデバッグ有効化、偽のアテステーション、VMSA状態のリプレイ、コードインジェクションを行いました」と研究論文で述べています。
月曜日、AMDは、EPYCおよびEPYC Embeddedシリーズのプロセッサが影響を受けていること、OEMにパッチを提供済みであり、BIOSアップデートとして展開される予定であることを発表しました。
Microsoftも月曜日、Azure Confidential Computing(ACC)のAMDベースクラスタにおけるこのセキュリティ欠陥への対応アップデートに取り組んでいると発表しました。修正が展開され次第、ACCリソースの再起動が必要な場合は顧客に通知されます。
同社はまた、メモリ操作やホスト侵害のリスクを低減する保護策があるため、実際に悪用される可能性は低いと指摘しています。
「Azure Confidential Computing製品全体で、ホスト侵害を防ぐための複数のセキュリティガードレールが設けられており、分離、整合性検証、継続的な監視が組み合わされています。すべてのホスト操作は監査・承認された管理経路に従い、管理者アクセスは厳格に制御・制限・記録されています」とMicrosoftは述べています。
翻訳元: https://www.securityweek.com/rmpocalypse-new-attack-breaks-amd-confidential-computing/
