Một nhóm các nhà nghiên cứu từ KU Leuven và Đại học Birmingham đã trình diễn một lỗ hổng mới mang tên Battering RAM để vượt qua các biện pháp phòng thủ mới nhất trên bộ xử lý đám mây của Intel và AMD.
"Chúng tôi đã chế tạo một interposer đơn giản, giá 50 USD, nằm yên lặng trong đường dẫn bộ nhớ, hoạt động minh bạch trong quá trình khởi động và vượt qua tất cả các kiểm tra tin cậy," các nhà nghiên cứu Jesse De Meulemeester, David Oswald, Ingrid Verbauwhede và Jo Van Bulck cho biết trên một trang web công bố phát hiện này. "Sau đó, chỉ với một công tắc, interposer của chúng tôi trở thành độc hại và âm thầm chuyển hướng các địa chỉ được bảo vệ đến các vị trí do kẻ tấn công kiểm soát, cho phép làm hỏng hoặc phát lại bộ nhớ được mã hóa."
Battering RAM làm tổn hại các tính năng bảo mật phần cứng Software Guard Extensions (SGX) của Intel và Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP) của AMD, vốn đảm bảo rằng dữ liệu khách hàng được mã hóa trong bộ nhớ và được bảo vệ trong quá trình sử dụng.
Nó ảnh hưởng đến tất cả các hệ thống sử dụng bộ nhớ DDR4, đặc biệt là những hệ thống dựa vào các workload confidential computing chạy trong môi trường đám mây công cộng để bảo mật dữ liệu khỏi nhà cung cấp dịch vụ đám mây bằng cách sử dụng kiểm soát truy cập cấp độ phần cứng và mã hóa bộ nhớ.
Chi tiết tấn công Battering RAM
Tóm lại, cuộc tấn công này liên quan đến việc tận dụng một interposer phần cứng DDR4 tùy chỉnh, chi phí thấp để lén lút chuyển hướng các địa chỉ vật lý và giành quyền truy cập trái phép vào các vùng bộ nhớ được bảo vệ. Interposer sử dụng các công tắc analog đơn giản để chủ động thao túng tín hiệu giữa bộ xử lý và bộ nhớ, và có thể được chế tạo với chi phí dưới 50 USD.
Trên nền tảng Intel, Battering RAM đạt được quyền đọc tùy ý vào plaintext hoặc ghi plaintext vào các enclave của nạn nhân, trong khi trên các hệ thống AMD, cuộc tấn công có thể được sử dụng để vượt qua các biện pháp giảm thiểu firmware gần đây chống lại BadRAM, đã được các nhà nghiên cứu ghi nhận vào tháng 12 năm 2024, và đưa các backdoor tùy ý vào máy ảo mà không gây ra bất kỳ nghi ngờ nào.
Việc khai thác thành công lỗ hổng có thể cho phép nhà cung cấp hạ tầng đám mây độc hại hoặc một người nội bộ có quyền truy cập vật lý hạn chế làm tổn hại remote attestation và cho phép chèn các backdoor tùy ý vào các workload được bảo vệ.
Phản ứng từ các nhà cung cấp và bối cảnh các lỗ hổng tương tự
Lỗ hổng này đã được báo cáo cho các nhà cung cấp vào đầu năm nay, sau đó Intel, AMD và Arm đã phản hồi rằng các cuộc tấn công vật lý hiện được coi là ngoài phạm vi. Tuy nhiên, các nhà nghiên cứu lưu ý rằng việc phòng thủ chống lại Battering RAM sẽ đòi hỏi một sự thiết kế lại cơ bản về mã hóa bộ nhớ.
"Battering RAM phơi bày giới hạn cơ bản của các thiết kế mã hóa bộ nhớ có thể mở rộng hiện đang được Intel và AMD sử dụng, vốn bỏ qua các kiểm tra tính mới về mật mã để ưu tiên kích thước bộ nhớ được bảo vệ lớn hơn," họ nói thêm. "Battering RAM [...] có khả năng giới thiệu các memory alias động trong thời gian chạy. Kết quả là, Battering RAM có thể vượt qua các kiểm tra alias lúc khởi động của Intel và AMD."
Việc công bố này diễn ra khi AMD phát hành các biện pháp giảm thiểu cho các cuộc tấn công có tên Heracles và Relocate-Vote được tiết lộ bởi Đại học Toronto và ETH Zürich, tương ứng, có thể làm rò rỉ dữ liệu nhạy cảm từ môi trường đám mây và các máy ảo confidential dựa trên công nghệ SEV-SNP của AMD thông qua một hypervisor độc hại.
"Hệ thống cho phép hypervisor di chuyển dữ liệu để quản lý bộ nhớ một cách hiệu quả," David Lie, giám đốc Viện Schwartz Reisman (SRI) tại Đại học Toronto, cho biết. "Vì vậy, khi dữ liệu được di chuyển, phần cứng của AMD giải mã nó từ vị trí cũ và mã hóa lại cho vị trí mới. Nhưng, điều chúng tôi phát hiện ra là bằng cách làm đi làm lại điều này, một hypervisor độc hại có thể tìm hiểu các mẫu lặp lại từ bên trong dữ liệu, điều này có thể dẫn đến vi phạm quyền riêng tư."
Tháng trước, các nhà nghiên cứu của ETH Zürich cũng đã trình diễn rằng một tối ưu hóa CPU được gọi là stack engine có thể bị lạm dụng như một side channel cho các cuộc tấn công dẫn đến rò rỉ thông tin. Một proof-of-concept (PoC) đã được phát triển cho các máy AMD Zen 5, mặc dù người ta tin rằng tất cả các mẫu đều có "tính năng phần cứng có thể lạm dụng" này.
Việc phát hiện Battering RAM cũng theo sau một báo cáo từ các nhà nghiên cứu của Vrije Universiteit Amsterdam về một kỹ thuật tấn công mới, thực tế được gọi là L1TF Reloaded kết hợp L1 Terminal Fault (còn gọi là Foreshadow) và Half-Spectre gadgets (tức là các mẫu code giống Spectre không đầy đủ) để làm rò rỉ bộ nhớ từ các máy ảo chạy trên dịch vụ đám mây công cộng.
"L1TF là một lỗ hổng CPU cho phép một VM (kẻ tấn công) đọc một cách suy đoán bất kỳ dữ liệu nào nằm trong cache dữ liệu L1 (cục bộ lõi) – bao gồm cả dữ liệu mà VM không nên có quyền truy cập," các nhà nghiên cứu VUSec cho biết. "Ở cấp độ cao, L1TF Reloaded lạm dụng điều này để có được một RAM read primitive tùy ý."
Google, công ty đã cung cấp cho các nhà nghiên cứu một node sole-tenant để tiến hành nghiên cứu an toàn mà không ảnh hưởng đến bất kỳ khách hàng nào khác, đã trao thưởng một khoản tiền thưởng lỗi 151.515 USD và "đã áp dụng các bản sửa lỗi cho các tài sản bị ảnh hưởng." Amazon cho biết lỗ hổng L1TF Reloaded không ảnh hưởng đến dữ liệu khách hàng guest của AWS chạy trên AWS Nitro System hoặc Nitro Hypervisor.
Spectre, lần đầu tiên được phát hiện vào đầu năm 2018, tiếp tục ám ảnh các CPU hiện đại, mặc dù dưới dạng các biến thể khác nhau. Gần đây, cách đây hai tuần, các nhà khoa học từ ETH Zürich đã phát triển một cuộc tấn công mới được gọi là VMScape (CVE-2025-40300, điểm CVSS: 6.5) làm phá vỡ ranh giới ảo hóa trong các CPU AMD Zen và bộ xử lý Intel Coffee Lake.
Được mô tả là một cuộc tấn công Spectre branch target injection (Spectre-BTI) nhắm vào đám mây, nó khai thác các lỗ hổng cách ly giữa host và guest trong chế độ user và supervisor để làm rò rỉ bộ nhớ tùy ý từ một quá trình QEMU không sửa đổi. Một bản sửa lỗi phần mềm đã được giới thiệu trong Linux kernel để chống lại primitive tấn công cross-virtualization BTI (vBTI).
"VMScape có thể làm rò rỉ bộ nhớ của quá trình QEMU với tốc độ 32 B/s trên AMD Zen 4," các tác giả cho biết trong một nghiên cứu. "Chúng tôi sử dụng VMScape để tìm vị trí dữ liệu bí mật và làm rò rỉ dữ liệu bí mật, tất cả trong vòng 772 giây, trích xuất khóa mật mã được sử dụng để mã hóa/giải mã đĩa làm ví dụ."
