Afbryd sikkerheden for amd epyc-processorer for servere

AMDs datacentre-processorer, EPYC, samt dens Ryzen Pro- linje, Secure Encrypted Virtualization- teknologi. Dette dekrypterer og krypterer virtuelle maskiner, mens de er gemt i RAM, så værtsoperativsystemet, hypervisor og al malware på værtscomputeren ikke kan spionere på de beskyttede virtuelle maskiner. Imidlertid brød en tysk efterforsker netop denne sikkerhed.

Dårlige nyheder for EPYC-processorsikkerhed

AMD EPYC- processorer bruger Secure Encrypted Virtualization- teknologi, der tildeler hver virtuel maskine et adresserum-ID, der er bundet til en kryptografisk nøgle til at kryptere og dekryptere data, når de bevæger sig mellem hukommelse og CPU-kerner. Nøglen forlader aldrig systemet på chippen, og hver VM får sin egen nøgle.

Dette betyder, at i teorien, selv en kapret, ondsindet, hypervisor, kerne, driver eller anden privilegeret kode ikke bør være i stand til at inspicere indholdet af en beskyttet virtuel maskine, hvilket er en god sikkerhedsfunktion.

Imidlertid kan en teknik, der kaldes SEVered, bruges af en ondsindet administrator af værtsniveau eller malware inden for en hypervisor eller lignende til at omgå SEV-beskyttelse og kopiere oplysninger fra en klient eller brugers virtuelle maskine.

Problemet, sagde tyske AISEC-forskere fra Fraunhofer (Mathias Morbitzer, Manuel Huber, Julian Horsch og Sascha Wessel) er, at hackere på værtsniveau kan ændre kortlægninger af fysisk hukommelse på værts-pc'en ved hjælp af standard sidetabeller, ignorerer SEV's beskyttelsesmekanisme.

Forskerne mener, at de har udviklet en metode til at afværge sikkerhedsmekanismer, som EPYC-serverchips. Så meget, at de sagde, at de kan udtrække klartekstdata fra en krypteret gæst gennem en hypervisor og enkle HTTP- eller HTTPS- anmodninger.

Forhåbentlig vil AMD opdatere disse chips, som Intel gjorde med sine Core-processorer, og den velsignede Meltdown og Specter.

TheRegister-skrifttype