Исследователи из швейцарского федерального технологического института в Цюрихе (ETH Zürich), Бенедикт Шлютер и Швета Шинде, обнаружили критическую уязвимость в процессорах AMD. Уязвимость, получившая название RMPocalypse, полностью подрывает технологию конфиденциальных вычислений SEV-SNP (Secure Encrypted Virtualization with Secure Nested Paging), предназначенную для изоляции и защиты виртуальных машин.
Атака заключается в выполнении одной-единственной операции записи 8 байт в память в строго определенный момент во время запуска защищенной виртуальной машины. Этого минимального вмешательства достаточно, чтобы скомпрометировать всю систему безопасности, что позволяет похитить все защищенные данные со стопроцентным успехом.
Целью атаки является ключевой компонент безопасности — таблица RMP (Reverse Map Paging). Эта структура данных, расположенная в оперативной памяти DRAM, отвечает за сопоставление системных физических адресов с гостевыми физическими адресами. Для всей системы существует только одна таблица RMP, и она хранит метаданные безопасности для всех страниц памяти. Управление таблицей осуществляется через специфические для модели регистры x86 (MSR) под контролем гипервизора и аппаратного обеспечения.
Причиной уязвимости является состояние гонки, возникающее в процессе инициализации таблицы RMP. За этот процесс отвечает встроенный процессор безопасности AMD, известный как Platform Security Processor (PSP) или AMD Secure Processor (ASP). В короткий промежуток времени, когда PSP инициализирует таблицу RMP для новой конфиденциальной виртуальной машины, эта таблица не защищена должным образом. Именно это временное окно позволяет злоумышленнику с правами администратора, например, вредоносному гипервизору, внести в нее изменения.
Одна 8-байтовая перезапись приводит к каскадному эффекту, из-за которого вся таблица RMP оказывается скомпрометированной. Это немедленно аннулирует все гарантии конфиденциальности и целостности, предоставляемые технологией SEV-SNP. Изоляция виртуальной машины полностью нарушается.
Последствия успешного эксплойта носят катастрофический характер. Злоумышленник получает возможность произвольно вмешиваться в выполнение конфиденциальных виртуальных машин, активировать скрытые функции, такие как режим отладки, и подделывать аттестацию, симулируя проверки безопасности. Также становится возможным восстановление предыдущих состояний машины для проведения атак повторного воспроизведения и внедрение стороннего кода в защищенную среду.
Компания AMD признала наличие уязвимости, присвоив ей идентификатор CVE-2025-0033 и рейтинг 5.9 по шкале CVSS v4. В понедельник были выпущены исправления. В официальном заявлении AMD говорится: «Ненадлежащий контроль доступа в AMD SEV-SNP может позволить злоумышленнику с правами администратора выполнять запись в RMP во время инициализации SNP, что потенциально может привести к потере целостности гостевой памяти SEV-SNP».
Производитель серверного оборудования Supermicro также отреагировал на проблему, заявив, что для устранения уязвимости на затронутых материнских платах требуется обновление BIOS.
Обнаружение RMPocalypse произошло всего через несколько недель после анонса другой серьезной уязвимости под названием Battering RAM. Этот новый метод атаки, разработанный группой ученых из Лёвенского католического университета (KU Leuven) и Бирмингемского университета, позволяет обходить новейшие средства защиты памяти и затрагивает как облачные процессоры Intel, так и AMD.
Атака заключается в выполнении одной-единственной операции записи 8 байт в память в строго определенный момент во время запуска защищенной виртуальной машины. Этого минимального вмешательства достаточно, чтобы скомпрометировать всю систему безопасности, что позволяет похитить все защищенные данные со стопроцентным успехом.
Целью атаки является ключевой компонент безопасности — таблица RMP (Reverse Map Paging). Эта структура данных, расположенная в оперативной памяти DRAM, отвечает за сопоставление системных физических адресов с гостевыми физическими адресами. Для всей системы существует только одна таблица RMP, и она хранит метаданные безопасности для всех страниц памяти. Управление таблицей осуществляется через специфические для модели регистры x86 (MSR) под контролем гипервизора и аппаратного обеспечения.
Причиной уязвимости является состояние гонки, возникающее в процессе инициализации таблицы RMP. За этот процесс отвечает встроенный процессор безопасности AMD, известный как Platform Security Processor (PSP) или AMD Secure Processor (ASP). В короткий промежуток времени, когда PSP инициализирует таблицу RMP для новой конфиденциальной виртуальной машины, эта таблица не защищена должным образом. Именно это временное окно позволяет злоумышленнику с правами администратора, например, вредоносному гипервизору, внести в нее изменения.
Одна 8-байтовая перезапись приводит к каскадному эффекту, из-за которого вся таблица RMP оказывается скомпрометированной. Это немедленно аннулирует все гарантии конфиденциальности и целостности, предоставляемые технологией SEV-SNP. Изоляция виртуальной машины полностью нарушается.
Последствия успешного эксплойта носят катастрофический характер. Злоумышленник получает возможность произвольно вмешиваться в выполнение конфиденциальных виртуальных машин, активировать скрытые функции, такие как режим отладки, и подделывать аттестацию, симулируя проверки безопасности. Также становится возможным восстановление предыдущих состояний машины для проведения атак повторного воспроизведения и внедрение стороннего кода в защищенную среду.
Компания AMD признала наличие уязвимости, присвоив ей идентификатор CVE-2025-0033 и рейтинг 5.9 по шкале CVSS v4. В понедельник были выпущены исправления. В официальном заявлении AMD говорится: «Ненадлежащий контроль доступа в AMD SEV-SNP может позволить злоумышленнику с правами администратора выполнять запись в RMP во время инициализации SNP, что потенциально может привести к потере целостности гостевой памяти SEV-SNP».
Производитель серверного оборудования Supermicro также отреагировал на проблему, заявив, что для устранения уязвимости на затронутых материнских платах требуется обновление BIOS.
Обнаружение RMPocalypse произошло всего через несколько недель после анонса другой серьезной уязвимости под названием Battering RAM. Этот новый метод атаки, разработанный группой ученых из Лёвенского католического университета (KU Leuven) и Бирмингемского университета, позволяет обходить новейшие средства защиты памяти и затрагивает как облачные процессоры Intel, так и AMD.
