Fabricked : Une faille dans AMD SEV-SNP

Introduction

La confidentialité des calculs et des données dans le cloud est une préoccupation majeure. Les environnements d'exécution de confiance basés sur le matériel, tels que AMD SEV-SNP, visent à résoudre ce problème en créant des machines virtuelles confidentielles (CVM). Cependant, une nouvelle faille, appelée Fabricked, permet à un hyperviseur malveillant de compromettre la sécurité de SEV-SNP en manipulant les routages de mémoire.

Contexte Technique

AMD SEV-SNP est une extension matérielle qui permet la création de CVM sur les processeurs serveurs AMD. L'Infinity Fabric est un interconnecteur qui gère les transferts de données cohérents, les routages de mémoire et les mappages d'adresses entre les cœurs de processeur, les contrôleurs de mémoire et les périphériques. La configuration de l'Infinity Fabric est dynamique et dépend de la configuration de la plate-forme.

La faille Fabricked repose sur le fait que l'UEFI, qui est responsable de la configuration de l'Infinity Fabric, peut être modifié par un attaquant pour contourner les mécanismes de sécurité de SEV-SNP. Cela permet à l'hyperviseur malveillant de réacheminer les transactions de mémoire et de compromettre l'initialisation de SEV-SNP.

Analyse et Implications

La faille Fabricked a des implications importantes pour la sécurité des CVM. Elle permet à un attaquant de contourner les mécanismes de sécurité de SEV-SNP et d'accéder aux données confidentielles stockées dans les CVM. Cette faille est particulièrement préoccupante dans les environnements de cloud computing, où les fournisseurs de services cloud peuvent avoir accès à l'UEFI et à l'hyperviseur.

La complexité de l'attaque est relativement faible, car elle ne nécessite pas d'accès physique au matériel ni d'exécution de code à l'intérieur de la CVM. La faille affecte les processeurs AMD Zen 3, Zen 4 et Zen 5, et AMD a publié des mises à jour de firmware pour corriger cette vulnérabilité.

Perspective

La faille Fabricked met en évidence l'importance de la sécurité de l'UEFI et de l'hyperviseur dans les environnements de cloud computing. Il est essentiel de mettre en place des mécanismes de sécurité robustes pour protéger les CVM et les données confidentielles qu'elles contiennent. Les fournisseurs de services cloud et les utilisateurs de CVM doivent être conscients de cette faille et prendre des mesures pour la corriger et la prévenir.