Bir grup akademisyen, AMD’nin Güvenli Şifrelenmiş Sanallaştırma (SEV) teknolojisine yönelik, tehdit aktörleri tarafından şifrelenmiş sanal makinelere (VM’ler) sızmak ve hatta ayrıcalık yükseltme gerçekleştirmek için potansiyel olarak istismar edilebilecek yeni bir “yazılım hatası saldırısı”nı ortaya çıkardı.
Saldırının kod adı verildi Önbellek Çözgü (CVE-2023-20592) CISPA Helmholtz Bilgi Güvenliği Merkezi’nden araştırmacılar tarafından. SEV’in tüm çeşitlerini destekleyen AMD CPU’ları etkiler.
Güvenlik araştırmacısı Ruiyi Zhang, The Hacker News’e şunları söyledi: “Bu araştırma için, Intel’in TEE’sine yapılan önceki saldırılardan elde edilen deneyimlere dayanarak, özellikle AMD’nin en yeni TEE’si olan AMD SEV-SNP’yi inceledik.” “‘INVD’ talimatını bulduk [flush a processor’s cache contents] AMD SEV’in tehdit modeli altında kötüye kullanılabilir.”
AMD-V mimarisinin bir uzantısı olan ve 2016 yılında tanıtılan SEV, VM’nin bellek içeriğini benzersiz bir anahtarla şifreleyerek VM’leri hipervizörden yalıtmak için tasarlanmıştır.
Kısaca fikir, sanal makineyi, hipervizörün (yani sanal makine monitörünün) kötü amaçlı olabileceği ve dolayısıyla varsayılan olarak güvenilemeyeceği ihtimalinden korumaktır.
Güvenli Yuvalanmış Çağrı (SNP) içeren SEV-SNP, “yalıtılmış bir yürütme ortamı oluşturmak amacıyla veri yeniden oynatma, belleğin yeniden eşlenmesi ve daha fazlası gibi kötü niyetli hipervizör tabanlı saldırıların önlenmesine yardımcı olmak için güçlü bellek bütünlüğü koruması” ekliyor. AMD.
Ancak Zhang’a göre CacheWarp, bütünlük korumalarını aşmayı ve hedeflenen sanal makinede ayrıcalık yükseltmeyi ve uzaktan kod yürütmeyi mümkün kılıyor –
‘INVD’ talimatı, değiştirilen tüm içeriği belleğe geri yazmadan önbellekte bırakır. Bu nedenle, saldırgan konuk VM’lerin yazma işlemlerini bırakabilir ve VM, mimari açıdan eski verilerle devam eder. Makalede bunu “timewarp” ve “dropforge” olmak üzere iki temel öğe aracılığıyla gösteriyoruz.
Timewarp için bir sonraki adım olarak bilgisayarın ezberlediklerini sıfırlayabiliriz. Bu, bilgisayarın daha önce çalıştırdığı kodu yürütmesini sağlar çünkü bellekten eski bir sözde dönüş adresini okur. Bilgisayar böylece zamanda geriye yolculuk yapar. Ancak eski kod yeni verilerle (başka bir fonksiyonun dönüş değeri) çalıştırılır ve bu da beklenmeyen etkilere yol açar. Bu yöntemi OpenSSH kimlik doğrulamasını atlamak, şifreyi bilmeden giriş yapmak için kullanırız.
“Dropforge” adı verilen başka bir yöntem, saldırganın konuk VM’lerde verilere yapılan değişiklikleri sıfırlamasına olanak tanır. Saldırgan, bir veya daha fazla düşüşle konuk yürütmenin mantık akışını istismar edilebilir bir şekilde manipüle edebilir. Örnek olarak ‘sudo’ ikili dosyasını ele alalım; saldırganın bunu bir başlangıç değerine sıfırlayabilmesi için bellekte (yığın) bir dönüş değeri saklanır. Ancak başlangıç değeri olan “0”, yönetici olmadığımız zamanlarda bile bize yönetici ayrıcalığı verir.
Bu kombinasyonla sanal makineye sınırsız erişime sahip oluyoruz.
Mimari hatanın başarılı bir şekilde kullanılması, bir saldırganın önceki bir duruma geri dönerek bir programın kontrol akışını ele geçirmesine ve VM’nin kontrolünü ele geçirmesine olanak tanıyabilir. AMD o zamandan beri “talimatların yanlış kullanımını” düzeltmek için bir mikro kod güncellemesi yayınladı.
Zhang, “Google Project Zero ve Google Cloud güvenliğinden oluşan bir ekip, geçen yıl AMD’nin TEE’sinin (SEV-SNP) en yeni sürümünü denetledi” dedi. “AMD ayrıca SEV-SNP’nin bütünlüğe yönelik tüm saldırıları önlediğini iddia ediyor. Ancak bizim saldırımız onun bütünlüğünü bozuyor.”
CISPA araştırmacıları, bu Ağustos ayının başlarında, Collide+Power (CVE-2023-20583) adı verilen ve izolasyon korumalarını kırarak hassas verileri sızdırmak üzere silah olarak kullanılabilecek Intel, AMD ve Arm CPU’larını hedef alan yazılım tabanlı bir güç yan kanal saldırısını da ortaya çıkardı.