Компания AMD рассказала, как защититься от двух атак на технологию SEV (Secure Encrypted Virtualization), которая защищает виртуальные машины от вредоносных операционных систем.
Две атаки, недавно описанные в научных статьях, позволяют злоумышленнику внедрить вредоносный код на виртуальные машины, защищенные SEV, и в итоге получить полный контроль над их операционной системой: CVE-2020-12967 (SEVerity) и CVE-2021-26311 (undeSErVed). Детальнее об этих проблемах будет рассказано на ИБ-конференции WOOT '21, которая состоится в конце текущего месяца.
SEVurity и undeSErVed работают не только против процессоров AMD, защищенных SEV, но и против SEV-ES (Secure Encrypted Virtualization-Encrypted State), улучшенной версии данной технологии, представленной AMD в 2017 году.
В итоге перед проблемами уязвимы процессоры AMD EPYC первого, второго и третьего поколений, а также встраиваемые процессоры EPYC. Для борьбы с этими проблемами производитель рекомендует владельцам уязвимых процессоров активировать новейшую версию технологии SEV — SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging), запущенную в 2020 году.
К сожалению, эта версия SEV поддерживается только на AMD EPYC третьего поколения. Поэтому остальным клиентам рекомендует не допускать компрометации ОС хоста, где работает виртуальная машина, защищенная SEV.