В области облачных вычислений, то есть доступа к ИТ-ресурсам по требованию через Интернет, важную роль играют так называемые безопасные среды исполнения, или TEE. Они призваны обеспечить безопасность данных на виртуальных рабочих средах, или виртуальных машинах, и исключить возможность манипулирования или кражи. Исследователи из Центра информационной безопасности имени Гельмгольца CISPA и Грацского технологического университета (TU Graz) обнаружили уязвимость в процессорах AMD, которая позволяет злоумышленникам проникнуть в виртуальные рабочие среды, основанные на технологиях доверенных вычислений AMD SEV-ES и AMD SEV-SNP. Это достигается путем сброса изменений данных в буферной памяти (кеше), что дает злоумышленникам неограниченный доступ к системе. В качестве названия для этого программного метода атаки они выбрали CacheWarp. CacheWarp поворачивает время вспятьAMD Secure Encrypted Virtualisation (SEV) — это расширение процессора, обеспечивающее безопасное разделение виртуальных машин и базового программного обеспечения, известного как гипервизор, для управления необходимыми ресурсами. Для этого AMD SEV шифрует данные на виртуальной машине. CacheWarp может использоваться для отмены модификации данных в этой рабочей среде и обмана системы, заставляя ее считать, что данные устарели. Это проблематично, например, если переменная определяет, успешно ли аутентифицирован пользователь или нет. Успешная аутентификация обычно отмечается значением «0», которое, однако, совпадает со значением, которым инициализирована переменная. Если потенциальный злоумышленник введет неверный пароль, то переменная будет перезаписана значением, не равным „0“. Однако CacheWarp может быть использован для сброса этой переменной в исходное состояние при индикации успешной аутентификации. Это позволяет злоумышленнику установить уже аутентифицированный сеанс. Это стало возможным благодаря неожиданному взаимодействию между инструкциями процессора и AMD-SEV, с помощью которого кэш может быть сброшен в старое состояние. Получив таким образом доступ, злоумышленник в дальнейшем может получить полные права администратора на доступ к данным виртуальной машины. В ходе тестирования исследователи смогли взять все находящиеся там данные, модифицировать их и распространить из виртуальной машины дальше в инфраструктуру пользователя. Сначала они обошли защищенный вход в систему, а затем преодолели барьер между обычным пользователем и администратором. AMD предоставляет обновлениеКак обычно бывает в таких случаях, исследователи заранее проинформировали об уязвимости соответствующего производителя, в данном случае AMD, чтобы он мог принять необходимые меры до публикации результатов исследования. Компания AMD идентифицировала CacheWarp под идентификатором CVE-2023-20592 и выпустила обновление микрокода, устраняющее уязвимость. Дополнительную информацию об этом производитель опубликовал в бюллетене AMD Security Bulletin.
14.11.2023 |
Net&IT
TheInnovator: Роботы с искусственным интеллектом изменят рынок труда | |
Если компании и ИИ-стартапы, стремящиеся ... |
В КАИ оснащают беспилотники компьютерным зрением | |
Ученые университета разработали специальные пр... |
ИИ становится носителем всех пороков человечества, включая расизм и сексизм | |
Языковые движки, на которых работает гене... |
Когда облака удивляют: 5 историй из техподдержки облачного провайдера | |
Международный облачный провайдер Serverspace, ... |
NatComm: Новая математическая модель обеспечит безопасное использование ИИ | |
Инструменты на основе искусственного инте... |
Разработан реалистичный тест для оценки навыков клинического общения ИИ | |
Инструменты искусственного интеллекта, такие к... |
Сети Wi-Fi-избавили от лишней «информационной нагрузки» | |
Ученые придумали, как сделать информацию ... |
Будущее наступило: квантовые технологии меняют нашу жизнь и кибербезопасность | |
Квантовые вычисления, обладающие революционным... |
ИИ нового поколения: машинная психология может сделать машины равными человеку | |
Искусственный интеллект, не уступающий че... |
Financial Analysts Journal: ChatGPT пока не может заменить финансовых спецов | |
В то время как большие языковые моде... |
Nature Human Behaviour: Заблуждение ИИ усиливает наши собственные заблуждения | |
Системы искусственного интеллекта склонны пере... |
Новую модель для графической нейросети сделают доступной для смартфонов | |
Среди множества моделей искусственного интелле... |
В ННГУ научились восстанавливать функции биологических нейросетей | |
Новую технологию, которая работает подобно кле... |
В ЛЭТИ разработали цифровой сервис с VR для обучения медицинских инженеров | |
Система SeVRis позволит инженерам учиться ремо... |
Scientific Reports: Разработано подвижное навигационное устройство для незрячих | |
Новаторская навигационная технология, использу... |
В МИФИ разработана нейросеть для расчета и синтеза голографических изображений | |
Обычно для создания оптических элементов,... |
NCS: Новый ИИ DIMON решает сложные инженерные задачи быстрее суперкомпьютеров | |
Моделирование того, как деформируются авт... |
Nature Communications: Аналоговые машины тоже могут обучаться | |
Все думают, что машинное обучение &m... |
Nature Communications: ИИ изучает язык расположения атомов в твердых телах | |
Новую модель искусственного интеллекта, котора... |
Science: Создана революционная технология, которая переписывает ДНК | |
Брайан Хи руководит Лабораторией эволюцио... |
Мемристоры сделают компьютеры будущего умными, как мозг | |
Новое вещество для изменения работы устро... |
В Японии предложили способ усовершенствовать дополненную реальность на смартфоне | |
Приложения дополненной реальности, которые раб... |
В МФТИ создали бота для распознавания нот | |
Студенты МФТИ создали программу под назва... |
В Московском Политехе создали алгоритм для прогнозирования пешеходного трафика | |
Студент первого курса Московского Политеха Арт... |
Ученые рассказали об уязвимостях в системе безопасности медицинских ИТ | |
Сотрудники кафедры ИБ Московского Политех... |
EgoTouch управляет VR-миром с ладони — речь идет о новом уровне взаимодействия | |
В обычной жизни мы не хотим постоянн... |
Plant Phenomics: Как технологии помогают фермерам сохранить урожай риса | |
Благодаря новым технологиям искусственный инте... |
Челябинские ученые сделают коммунальные машины автономными | |
Программу для управления техникой, котора... |
Школьники создали для музея бота-проводника по коммуналкам и книгам Булгакова | |
Сегодня музейные чат-боты могут гораздо больше... |
Студенты ТИСБИ разработали проект онлайн-платформы для геймеров | |
Студенты Университета управления ТИСБИ в ... |