Атака StackWarp компрометирует виртуальные машины на процессорах AMD
Эксперты Центра информационной безопасности им. Гельмгольца (CISPA) обнаружили аппаратную уязвимость в процессорах AMD, получившую кодовое название StackWarp. Проблема затрагивает чипы от Zen 1 до Zen 5 и позволяет взломать конфиденциальные виртуальные машины, обходя защиту AMD SEV-SNP.
Уязвимость получила идентификатор CVE-2025-29943. Инженеры AMD описывают проблему как «некорректный контроль доступа», который позволяет атакующему с высокими правами изменить конфигурацию процессорного пайплайна и повредить данные указателя стека внутри гостевой виртуальной машины.
«В контексте SEV-SNP эта проблема позволяет вредоносному хосту манипулировать указателем стека гостевой виртуальной машины. Это дает возможность перехватить контроль над потоком выполнения и данными, открывая путь к удаленному выполнению кода и повышению привилегий внутри конфиденциальной виртуальной машины», — объясняют специалисты Руйи Чжан (Ruiyi Zhang), Тристан Хорнетц (Tristan Hornetz), Даниэль Вебер (Daniel Weber), Фабиан Томас (Fabian Thomas) и Михаэль Шварц (Michael Schwarz).
Исследователи поясняют, что уязвимость эксплуатируется через манипуляцию с ранее недокументированным битом в регистре MSR процессора. Атакующий, запустивший код на соседнем логическом ядре (при включенном SMT/Hyperthreading), может переключать этот бит и таким образом манипулировать указателем стека внутри защищенной виртуальной машины.
Атака открывает возможность для перенаправления потока выполнения программы или манипуляции с конфиденциальными данными. Так, с помощью StackWarp можно извлечь секреты из защищенных SEV окружений и скомпрометировать виртуальные машины в облачных средах на базе AMD.
Исследователи продемонстрировали возможности атаки в нескольких практических сценариях. С помощью StackWarp им удалось восстановить приватный ключ RSA-2048 из единственной ошибочной цифровой подписи, обойти парольную аутентификацию OpenSSH и запрос пароля sudo, а также добиться выполнения кода в режиме ядра внутри виртуальной машины.
StackWarp затрагивает следующие линейки процессоров:
- AMD EPYC серии 7003;
- AMD EPYC серии 8004;
- AMD EPYC серии 9004;
- AMD EPYC серии 9005;
- AMD EPYC Embedded серий 7003, 8004, 9004 и 9005.
Подчеркивается, что для успешной эксплуатации CVE-2025-29943 потребуется привилегированный контроль над хост-сервером, где работают конфиденциальные виртуальные машины. То есть атаку могут провести, к примеру, недобросовестные сотрудники облачного провайдера, или продвинутая хакерская группировка, получившая доступ к инфраструктуре компании. Эксперты предупреждают:
«Результаты исследования демонстрируют, что целостность выполнения конфиденциальных виртуальных машин (именно та защита, которую призван обеспечить SEV-SNP) может быть эффективно скомпрометирована. Конфиденциальные ключи и пароли могут быть украдены, и атакующие могут выдавать себя за легитимных пользователей или получить постоянный контроль над системой, а изоляция между гостевыми виртуальными машинами и хостом или другими виртуальными машинами более не может быть гарантирована».
Разработчики AMD присвоили проблеме низкий уровень опасности и сообщили, что патчи для затронутых серверных процессоров EPYC доступны с июля 2025 года. Исправления AGESA для EPYC Embedded 8004 и 9004 Series запланированы на апрель 2026 года.
Подробности об атаке опубликованы на специальном сайте, посвященном StackWarp. Там же доступна техническая статья с детальным описанием проблемы и видео, демонстрирующие атаку в действии.