В области облачных вычислений, то есть доступа к ИТ-ресурсам по требованию через Интернет, важную роль играют так называемые безопасные среды исполнения, или TEE. Они призваны обеспечить безопасность данных на виртуальных рабочих средах, или виртуальных машинах, и исключить возможность манипулирования или кражи. Исследователи из Центра информационной безопасности имени Гельмгольца CISPA и Грацского технологического университета (TU Graz) обнаружили уязвимость в процессорах AMD, которая позволяет злоумышленникам проникнуть в виртуальные рабочие среды, основанные на технологиях доверенных вычислений AMD SEV-ES и AMD SEV-SNP. Это достигается путем сброса изменений данных в буферной памяти (кеше), что дает злоумышленникам неограниченный доступ к системе. В качестве названия для этого программного метода атаки они выбрали CacheWarp. CacheWarp поворачивает время вспятьAMD Secure Encrypted Virtualisation (SEV) — это расширение процессора, обеспечивающее безопасное разделение виртуальных машин и базового программного обеспечения, известного как гипервизор, для управления необходимыми ресурсами. Для этого AMD SEV шифрует данные на виртуальной машине. CacheWarp может использоваться для отмены модификации данных в этой рабочей среде и обмана системы, заставляя ее считать, что данные устарели. Это проблематично, например, если переменная определяет, успешно ли аутентифицирован пользователь или нет. Успешная аутентификация обычно отмечается значением «0», которое, однако, совпадает со значением, которым инициализирована переменная. Если потенциальный злоумышленник введет неверный пароль, то переменная будет перезаписана значением, не равным „0“. Однако CacheWarp может быть использован для сброса этой переменной в исходное состояние при индикации успешной аутентификации. Это позволяет злоумышленнику установить уже аутентифицированный сеанс. Это стало возможным благодаря неожиданному взаимодействию между инструкциями процессора и AMD-SEV, с помощью которого кэш может быть сброшен в старое состояние. Получив таким образом доступ, злоумышленник в дальнейшем может получить полные права администратора на доступ к данным виртуальной машины. В ходе тестирования исследователи смогли взять все находящиеся там данные, модифицировать их и распространить из виртуальной машины дальше в инфраструктуру пользователя. Сначала они обошли защищенный вход в систему, а затем преодолели барьер между обычным пользователем и администратором. AMD предоставляет обновлениеКак обычно бывает в таких случаях, исследователи заранее проинформировали об уязвимости соответствующего производителя, в данном случае AMD, чтобы он мог принять необходимые меры до публикации результатов исследования. Компания AMD идентифицировала CacheWarp под идентификатором CVE-2023-20592 и выпустила обновление микрокода, устраняющее уязвимость. Дополнительную информацию об этом производитель опубликовал в бюллетене AMD Security Bulletin.
14.11.2023 |
Net&IT
Новые ИИ-модели нагрева плазмы исправляют вычисления термоядерных исследований | |
Новые модели искусственного интеллекта для&nbs... |
ACMTAC: Новые приложения позволят слепым людям ориентироваться в помещениях | |
Два новых приложения помогут слепым людям орие... |
Nature Communications: Ученые придумали способ ускорить разработку лекарств | |
Способ улучшить квантовые компьютеры для ... |
PRR: Новые оптические устройства смогут преодолеть ограничения хранения данных | |
Поскольку наш цифровой мир создаёт о... |
В МФТИ создали ПО для нефтяников и золотодобытчиков | |
Сотрудники МФТИ предложили цифровое решение, к... |
В КФУ создали программу для определения свойств многокомпонентных материалов | |
Учёные вуза с помощью ИИ разработали... |
В России создали систему коррекции волнового фронта для квантовой связи | |
Ученые МТУСИ и ИДГ РАН разработ... |
MIT: Новый протокол безопасности защищает данные в облаке от злоумышленников | |
Модели глубокого обучения используются в ... |
Эксперт объяснил, как ИИ меняет творческий процесс в индустрии моды | |
Александр Бутаков, продюсер и специалист ... |
Студенты КНИТУ создали двуязычного ИИ-бота для туристов | |
Студенты КНИТУ создали туристического бота с&n... |
NatComm: С помощью ИИ найдено лучшее решение для хранения энергии | |
Найти иголку в стоге сена — пр... |
ACS Photonics: Разработаны улучшенные очки дополненной реальности | |
Дополненная реальность накладывает цифровые из... |
Journal of Consumer Affairs: Трекеры активности могут сформировать зависимость | |
Технологии для профилактики здоровья, так... |
Испытание лекарств на кардиотоксичность с помощью нейросетей предложили в МФТИ | |
Новый метод позволяет обнаружить потенциально ... |
В МТУСИ разработали метод машинного обучения для обнаружения фишинговых сайтов | |
Информационная безопасность веб-приложений&nbs... |
В МФТИ разрабатывают приложение для планирования рабочего времени репетиторов | |
Студентка кафедры технологии будущего МФТИ Тат... |
FCS: Квантовые компьютеры ускоряют решение задач с матроидами | |
Квантовые компьютеры работают быстрее классиче... |
GATech: Расширения для браузеров ставят под угрозу данные пользователей | |
Расширения для браузеров пользуются огром... |
Rice: Полидактилия и другие странности анатомии от ИИ останутся в прошлом | |
Генеративный искусственный интеллект часто оши... |
IEEE TSP: Низкоорбитальные спутники можно сделать высокопроизводительными | |
Спутники на низкой орбите смогут обеспечи... |
Выпускница ЛЭТИ разработала ПО для подбора сотрудников в соцсетях | |
Приложение на основе нейросети поможет из... |
FBINF: Искать триггеры рака стало проще — на помощь пришел компьютерный алгоритм | |
Компьютерный алгоритм помогает находить генети... |
Разработан метод улучшения изображения, полученного при низкой освещенности | |
С развитием интеллектуальной эры все ... |
Nature Machine Intelligence: Генеративный ИИ берется за прогнозы в онкологии | |
Учёные из университетов Лозанны и Бе... |
Разработчик рассказал, когда искусственный интеллект превзойдет человеческий | |
Аналитик Эйтан Майкл Азофф считает, что л... |
JID: Новый анализ волос с помощью ИИ улучшит исследование здоровья | |
Новое приложение с искусственным интеллек... |
В ЛЭТИ разработали ПО для поисковых и спасательных дронов с компьютерным зрением | |
Учёные разрабатывают ПО, которое позволит дрон... |
В Киберателье УГНТУ создали «умную» одежду для работников нефтегазовой отрасли | |
Куртки с датчиками, изготовленные в ... |
В МТУСИ предложили усовершенствовать процессы SAST | |
Миллионы людей по всему миру ежедневно по... |
Radiology: ChatGPT не справился с интерпретацией радиологических снимков | |
Исследователи выяснили, что ChatGPT-4 Vis... |