苏黎世联邦理工学院的一组研究人员披露了一种新型攻击的技术细节，该攻击可用于破坏机密虚拟机 (CVM)。

研究人员提出了他们所谓的Ahoi 攻击的两种变体。其中一项被称为Heckler，涉及恶意管理程序注入中断以更改数据和控制流，从而破坏 CVM 的完整性和机密性。

该攻击针对基于硬件的可信执行环境，特别是依赖 AMD 安全加密虚拟化安全嵌套分页 (SEV-SNP) 和英特尔信任域扩展 (TDX) 技术的环境，这些技术可用于云平台。

AMD SEV-SNP 和英特尔 TDX 使用户能够在云中部署和运行虚拟机，同时确保它们免受其他云租户和服务提供商（包括其硬件和管理程序软件）的影响。

然而，虚拟机管理程序仍然控制着一些资源管理和配置任务，包括中断，苏黎世联邦理工学院的研究人员设法利用一些中断来进行潜在的恶意活动。

对于 AMD 和 Intel 技术，研究人员使用恶意虚拟机管理程序绕过身份验证并获得目标 CVM 的 root 访问权限。

在公开披露他们的发现之前，研究人员通知了英特尔、AMD、AWS、微软和谷歌。 AMD 发布了一份公告，称该漏洞存在于 Linux 内核的 SEV-SNP 实现中。英特尔似乎没有发布咨询报告，但研究人员表示，该公司得出了与 AMD 相同的结论。

Linux 内核补丁和缓解措施可用。此外，AMD表示它支持硬件安全功能，应该可以防止此类攻击，但Linux目前不支持这些功能。

至于云供应商，微软的Azure表示不受影响，AWS表示EC2不依赖受影响的技术。 AWS 已确认Amazon Linux受到影响，并计划在未来版本中解决内核问题。谷歌尚未分享任何有关其云服务是否受到影响的信息。

在第二种称为WeSee的 Ahoi 攻击中，该攻击仅适用于 AMD SEV-SNP，研究人员设法使用特殊中断来获取敏感的虚拟机信息，例如内核 TLS 会话密钥、损坏的内核数据以禁用防火墙规则，并打开一个根外壳。

CVE 标识符 CVE-2024-25744、CVE-2024-25743 和 CVE-2024-25742 被分配给与 Ahoi 攻击相关的问题。

文章原文链接:https://www.anquanke.com/post/id/295404