Chipmaker AMD heeft oplossingen uitgebracht om een beveiligingsprobleem op te lossen RMPocalyps die kunnen worden uitgebuit om de vertrouwelijke computergaranties van Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP) te ondermijnen.
De aanval, volgens ETH Zürich-onderzoekers Benedict Schlüter en Shweta Shinde, maakt gebruik van AMD’s onvolledige beveiligingen die het mogelijk maken om één geheugenschrijfbewerking uit te voeren naar de Reverse Map Paging (RMP)-tabel, een datastructuur die wordt gebruikt om beveiligingsmetagegevens op te slaan voor alle DRAM-pagina’s in het systeem.
“De Reverse Map Table (RMP) is een structuur die zich in DRAM bevindt en fysieke systeemadressen (sPA’s) toewijst aan fysieke gastadressen (gPA’s)”, aldus AMD’s specificatiedocumentatie. “Er is slechts één RMP voor het hele systeem, dat is geconfigureerd met behulp van x86-modelspecifieke registers (MSR’s).”
“Het RMP bevat ook verschillende beveiligingsattributen van elk die worden beheerd door de hypervisor via hardware-gemedieerde en firmware-gemedieerde controles.”
AMD maakt gebruik van een zogenaamde Platform Security Processor (PSP) om de RMP te initialiseren, wat cruciaal is om SEV-SNP op het platform mogelijk te maken. RMPocalypse maakt gebruik van een fout in het geheugenbeheer in deze initialisatiestap, waardoor aanvallers toegang kunnen krijgen tot gevoelige informatie, in strijd met de vertrouwelijkheids- en integriteitsbescherming van SEV-SNP.
De kern van het probleem is een gebrek aan adequate waarborgen voor het beveiligingsmechanisme zelf – een soort catch-22-situatie die ontstaat als gevolg van het feit dat RMP niet volledig wordt beschermd wanneer een virtuele machine wordt gestart, waardoor feitelijk de deur wordt geopend voor RMP-corruptie.
“Deze kloof zou aanvallers met externe toegang in staat kunnen stellen bepaalde beveiligingsfuncties te omzeilen en de virtuele machine-omgeving te manipuleren, die bedoeld is om veilig geïsoleerd te worden”, aldus ETH Zürich. “Deze kwetsbaarheid kan worden misbruikt om verborgen functies te activeren (zoals een debug-modus), veiligheidscontroles te simuleren (zogenaamde attestation-vervalsingen) en eerdere toestanden te herstellen (replay-aanvallen) – en zelfs om buitenlandse code te injecteren.”
Succesvolle exploitatie van RMPocalypse kan een slechte actor in staat stellen willekeurig te knoeien met de uitvoering van de vertrouwelijke virtuele machines (CVM’s) en alle geheimen te exfiltreren met een succespercentage van 100%, ontdekten de onderzoekers.
Als reactie op de bevindingen heeft AMD de CVE-identifier CVE-2025-0033 (CVSS v4-score: 5,9) aan de kwetsbaarheid toegewezen en beschrijft het als een race condition die kan optreden terwijl de AMD Secure Processor (ASP of PSP) de RMP initialiseert. Als gevolg hiervan kan een kwaadwillende hypervisor de initiële RMP-inhoud manipuleren, wat mogelijk kan resulteren in verlies van de SEV-SNP-gastgeheugenintegriteit.
“Onjuiste toegangscontrole binnen AMD SEV-SNP zou ervoor kunnen zorgen dat een aanvaller met beheerdersrechten naar de RMP kan schrijven tijdens SNP-initialisatie, wat mogelijk kan resulteren in een verlies van de SEV-SNP-gastgeheugenintegriteit”, merkte de chipmaker op in zijn advies dat maandag werd vrijgegeven.
AMD heeft onthuld dat de volgende chipsets door de fout worden beïnvloed:
- AMD EPYC™ 7003-serie processors
- AMD EPYC™ 8004-serie processors
- AMD EPYC™ 9004-serie processors
- AMD EPYC™ 9005-serie processors
- AMD EPYC™ Embedded 7003 Series-processors (oplossing gepland voor release in november 2025)
- AMD EPYC™ geïntegreerde processors uit de 8004-serie
- AMD EPYC™ geïntegreerde processors uit de 9004-serie
- AMD EPYC™ geïntegreerde processors uit de 9004-serie
- AMD EPYC™ Embedded 9005-serie processors (oplossing gepland voor release in november 2025)
Microsoft en Supermicro hebben ook CVE-2025-0033 erkend, waarbij de Windows-maker beweert dat hij eraan werkt om dit probleem te verhelpen in de AMD-gebaseerde clusters van Azure Confidential Computing (ACC). Supermicro zei dat de getroffen moederbord-SKU’s een BIOS-update nodig hebben om de fout te verhelpen.
“RMPocalypse laat zien dat AMD’s platformbeschermingsmechanismen niet compleet zijn, waardoor er een kleine kans overblijft voor de aanvaller om kwaadwillig de RMP te overschrijven bij initialisatie”, aldus de onderzoekers. “Vanwege het ontwerp van de RMP zorgt een enkele overschrijving van 8 bytes binnen de RMP ervoor dat de hele RMP vervolgens in gevaar komt.”
“Met een gecompromitteerd RMP worden alle integriteitsgaranties van SEV-SNP ongeldig. Casestudies van RMPocalypse tonen aan dat een door een aanvaller gecontroleerd RMP niet alleen de integriteit tenietdoet, maar ook resulteert in een volledige schending van de vertrouwelijkheid.”
De ontwikkeling komt weken nadat een groep academici van de KU Leuven en de Universiteit van Birmingham een nieuwe kwetsbaarheid, Battering RAM, demonstreerde om de nieuwste verdedigingen op Intel- en AMD-cloudprocessors te omzeilen.
