11/07/19
Команда исследователей, в которую вошли представители четырех университетов США, изучили технологию Secure Encrypted Virtualization (SEV) от компании AMD и обнаружили, что при определенных обстоятельствах злоумышленники могут обойти ее защиту.
Результаты исследования были представлены на этой неделе на конференции безопасности ACM Asia Conference on Computer and Communications Security в Окленде (Новая Зеландия). В докладе под названием «The SEVerESt Of Them All: Inference Attacks Against Secure Virtual Enclaves» ученые описали два метода атак. Представленные ими техники позволяют недобросовестным администраторам облачных серверов или злоумышленникам, взломавшим гипервизор, определять запущенные на гостевой виртуальной машине приложения, защищенные с помощью SEV, а также внедрять и извлекать данные из виртуальных машин.
Как поясняет AMD, SEV защищает гостевые виртуальные машины как друг от друга, так и от ПО, запущенного на хосте, и его администраторов. Неважно, что происходит на одной виртуальной машине, это не должно затрагивать ни другие виртуальные машины, ни операционную систему хоста, ни гипервизор, ни администраторов. Тем не менее, исследователи продемонстрировали, что технология SEV не способна отражать атаки со стороны вредоносного гипервизора.
«Пассивно наблюдая за изменениями в журналах, злоумышленник может восстановить критическую информацию о действиях в зашифрованных гостевых системах», – сообщается в докладе исследователей.
Атака работает даже в отношении Secure Encrypted Virtualization Encrypted State (SEV-ES) – расширенной техники защиты памяти, шифрующей не только оперативную память, но и блок управления виртуальной машины. Это блок представляет собой область памяти, куда сохраняется содержимое реестра ЦП виртуальной машины, когда она вынуждена уступать гипервизору. По идее, шифрование должно помешать гипервизору понять контекст приостановленной виртуальной машины, однако исследователи доказали обратное.
Ознакомиться с подробностями атак можно здесь .
