Araştırmacılar, AMD’nin Güvenli Şifrelenmiş Sanallaştırma (SEV) teknolojisinde, bulut ortamlarındaki hassas verileri tehlikeye atabilecek kritik bir güvenlik açığını ortaya çıkardı.
“BadRAM” olarak adlandırılan bu saldırı, en son SEV-SNP sürümü de dahil olmak üzere SEV korumalarını atlamak için hileli bellek modüllerinden yararlanıyor ve paylaşılan bulut altyapısında barındırılan sanal makinelerin (VM’ler) güvenliğini baltalıyor. Endişe verici bir şekilde, bu istismar 10 dolardan daha düşük maliyetli ekipmanlarla gerçekleştirilebiliyor.
BadRAM Nasıl Çalışır?
Saldırının merkezinde DRAM modüllerine gömülü Seri Varlık Algılama (SPD) çipinin manipülasyonu yer alıyor. Bu çip, sistem önyüklemesi sırasında bellek yapılandırma ayrıntılarını işlemciye iletir.
Saldırganlar, SPD çipine müdahale ederek işlemciyi bellek yapılandırmalarını yanlış yorumlayacak şekilde aldatabilir ve mevcut bölgelerle eşlenen “hayalet” bellek adresleri oluşturabilir. Bu takma etki, saldırganların SEV’in şifreleme ve erişim kontrol mekanizmalarını atlamasına olanak tanır.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Araştırmacılar bu tekniğin şunları mümkün kıldığını gösterdi:
- Şifrelenmiş bellek içeriğini yeniden oynatma ve kurcalama.
- Uzaktan tasdik raporlarının tahrif edilmesi.
- SEV korumalı VM’lere tespit edilemeyen arka kapıların eklenmesi.
AMD’nin SEV teknolojisi, Amazon AWS, Google Cloud ve Microsoft Azure gibi büyük bulut sağlayıcıları tarafından VM belleğini izole etmek ve şifrelemek için yaygın olarak kullanılıyor ve ana bilgisayar sistemi tehlikeye girse bile veri gizliliğini sağlıyor.
Ancak BadRAM bu güven modelinde sistemik bir zayıflığı ortaya çıkarıyor. Saldırganlar bu güvenlik açığından yararlanarak şifrelenmiş verilere yetkisiz erişim sağlayabilir veya VM’leri fark edilmeden değiştirebilir.
AMD SEV, VM belleğini Güvenli İşlemcisi tarafından yönetilen benzersiz anahtarlarla şifrelerken BadRAM, bellek yapılandırmalarının doğrulanma biçimindeki kusurlardan yararlanarak bu güvenlik önlemlerini aşar.
Saldırı özellikle bulut veri merkezlerinde kullanılan AMD EPYC işlemcilerini hedef alıyor ve bu da onu çok kiracılı ortamlar için önemli bir tehdit haline getiriyor.
Azaltıcı Önlemler
AMD, bu tür istismarları önlemek için önyükleme sırasında SPD meta verilerini doğrulayan ürün yazılımı güncellemelerini yayınlayarak yanıt verdi. Bu güncellemeler CVE-2024-21944 altında takip edilir ve AMD’nin üçüncü ve dördüncü nesil EPYC işlemcileri için geçerlidir. Şirket şunları önermektedir:
- Kilitli SPD yongalarına sahip bellek modüllerinin kullanılması.
- Sıkı fiziksel güvenlik protokollerini takip etmek.
- En son ürün yazılımı güncellemelerinin uygulanması.
Ek olarak araştırmacılar, SPD verilerinin güvenilmez olarak ele alınmasını ve önyükleme sırasında bellek takma adı kontrollerinin uygulanmasını öneriyor; bu, Intel’in SGX ve TDX teknolojileri tarafından halihazırda kullanılan bir stratejidir.
AMD’nin SEV’si BadRAM saldırılarına karşı savunmasız olsa da, Intel SGX ve Arm’ın Gizli Bilgi İşlem Mimarisi (CCA) gibi rakip teknolojiler, bellek takma adlamaya karşı yerleşik karşı önlemler nedeniyle etkilenmeden kalır. Bununla birlikte keşif, güvenilir yürütme ortamlarında (TEE’ler) donanım düzeyinde sağlam savunmaların öneminin altını çiziyor.
Azaltımlar artık mevcut olsa da, SEV özellikli altyapılara güvenen kuruluşların sistemlerini güvence altına almak ve bulut bilişim ortamlarına olan güveni sürdürmek için hızlı hareket etmeleri gerekiyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin