Nhà sản xuất chip AMD đã phát hành các bản vá để khắc phục lỗ hổng bảo mật mang tên RMPocalypse, có thể bị khai thác để phá vỡ các đảm bảo điện toán bảo mật được cung cấp bởi Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP).
Cuộc tấn công, theo các nhà nghiên cứu Benedict Schlüter và Shweta Shinde của ETH Zürich, đã khai thác các biện pháp bảo vệ không đầy đủ của AMD, cho phép thực hiện một thao tác ghi bộ nhớ đơn lẻ vào bảng Reverse Map Paging (RMP) – một cấu trúc dữ liệu được sử dụng để lưu trữ siêu dữ liệu bảo mật cho tất cả các trang DRAM trong hệ thống.
"Bảng Reverse Map (RMP) là một cấu trúc nằm trong DRAM và ánh xạ các địa chỉ vật lý hệ thống (sPAs) tới các địa chỉ vật lý khách (gPAs)," theo tài liệu kỹ thuật của AMD. "Chỉ có một RMP cho toàn bộ hệ thống, được cấu hình bằng cách sử dụng các thanh ghi đặc biệt của mẫu x86 (MSRs)."
"RMP cũng chứa các thuộc tính bảo mật khác nhau của từng thuộc tính đó, được quản lý bởi hypervisor thông qua các điều khiển do phần cứng và phần mềm điều khiển."
AMD sử dụng bộ xử lý bảo mật nền tảng (Platform Security Processor - PSP) để khởi tạo RMP, điều này rất quan trọng để kích hoạt SEV-SNP trên nền tảng. RMPocalypse khai thác một lỗ hổng quản lý bộ nhớ trong bước khởi tạo này, cho phép kẻ tấn công truy cập thông tin nhạy cảm trái với các biện pháp bảo vệ tính bảo mật và toàn vẹn của SEV-SNP.
Trọng tâm của vấn đề là thiếu các biện pháp bảo vệ đầy đủ cho chính cơ chế bảo mật – một tình huống khó xử phát sinh do RMP không được bảo vệ hoàn toàn khi một máy ảo được khởi động, mở đường cho việc hỏng RMP.
"Khoảng trống này có thể cho phép kẻ tấn công có quyền truy cập từ xa bỏ qua một số chức năng bảo vệ và thao túng môi trường máy ảo, vốn được thiết kế để cách ly an toàn," ETH Zürich cho biết. "Lỗ hổng này có thể bị khai thác để kích hoạt các chức năng ẩn (chẳng hạn như chế độ debug), mô phỏng kiểm tra bảo mật (gọi là attestation forgeries) và khôi phục các trạng thái trước đó (replay attacks) – và thậm chí để inject code lạ."
Các nhà nghiên cứu phát hiện ra rằng việc khai thác thành công RMPocalypse có thể cho phép kẻ tấn công tùy ý can thiệp vào quá trình thực thi của các máy ảo bảo mật (CVMs) và đánh cắp tất cả bí mật với tỷ lệ thành công 100%.
Để đối phó với những phát hiện này, AMD đã gán mã định danh CVE CVE-2025-0033 (điểm CVSS v4: 5.9) cho lỗ hổng, mô tả đây là một race condition có thể xảy ra trong khi AMD Secure Processor (ASP hoặc PSP) đang khởi tạo RMP. Kết quả là, nó có thể cho phép một hypervisor độc hại thao túng nội dung RMP ban đầu, có khả năng dẫn đến mất tính toàn vẹn bộ nhớ khách của SEV-SNP.
"Kiểm soát truy cập không đúng trong AMD SEV-SNP có thể cho phép kẻ tấn công có đặc quyền quản trị ghi vào RMP trong quá trình khởi tạo SNP, có khả năng dẫn đến mất tính toàn vẹn bộ nhớ khách của SEV-SNP," nhà sản xuất chip lưu ý trong bản khuyến cáo được phát hành vào thứ Hai.
Các Bộ Chip bị Ảnh hưởng
AMD đã tiết lộ rằng các bộ chip sau đây bị ảnh hưởng bởi lỗ hổng này:
- AMD EPYC™ 7003 Series Processors
- AMD EPYC™ 8004 Series Processors
- AMD EPYC™ 9004 Series Processors
- AMD EPYC™ 9005 Series Processors
- AMD EPYC™ Embedded 7003 Series Processors (Bản vá dự kiến phát hành vào tháng 11 năm 2025)
- AMD EPYC™ Embedded 8004 Series Processors
- AMD EPYC™ Embedded 9004 Series Processors
- AMD EPYC™ Embedded 9004 Series Processors
- AMD EPYC™ Embedded 9005 Series Processors (Bản vá dự kiến phát hành vào tháng 11 năm 2025)
Microsoft và Supermicro cũng đã xác nhận CVE-2025-0033, với nhà sản xuất Windows tuyên bố rằng họ đang làm việc để khắc phục nó trong các cụm dựa trên AMD của Azure Confidential Computing (ACC). Supermicro cho biết các SKU bo mạch chủ bị ảnh hưởng yêu cầu cập nhật BIOS để giải quyết lỗ hổng.
"RMPocalypse cho thấy rằng các cơ chế bảo vệ nền tảng của AMD chưa hoàn chỉnh, do đó để lại một khoảng thời gian nhỏ cho kẻ tấn công để ghi đè độc hại RMP khi khởi tạo," các nhà nghiên cứu cho biết. "Do thiết kế của RMP, một thao tác ghi đè đơn lẻ 8 byte trong RMP khiến toàn bộ RMP bị tổn hại sau đó."
"Với RMP bị tổn hại, tất cả các đảm bảo toàn vẹn của SEV-SNP trở nên vô hiệu. Các nghiên cứu trường hợp của RMPocalypse cho thấy RMP do kẻ tấn công kiểm soát không chỉ làm mất hiệu lực tính toàn vẹn mà còn dẫn đến việc breach hoàn toàn tính bảo mật."
Sự phát triển này diễn ra vài tuần sau khi một nhóm các nhà khoa học từ KU Leuven và Đại học Birmingham trình diễn một lỗ hổng mới gọi là Battering RAM để vượt qua các biện pháp phòng thủ mới nhất trên bộ xử lý đám mây của Intel và AMD.
