Уязвимость в облаках: исследователи нашли лазейку в защите данных

Облачные сервисы стали неотъемлемой частью нашей цифровой жизни, позволяя хранить и обрабатывать информацию удаленно. Для наиболее чувствительных данных, таких как медицинские или финансовые записи, провайдеры предлагают специализированные защищенные среды. Эти среды спроектированы так, чтобы исключить доступ к данным даже со стороны самого облачного провайдера или операционной системы хоста. Это гарантирует конфиденциальность при работе с личной информацией, например, в AI-приложениях, которые анализируют содержимое мессенджеров для автоматического создания резюме.

Эксперты называют такие изолированные зоны конфиденциальными вычислительными средами. Технологии, используемые в них, обеспечивают шифрование данных не только при хранении и передаче, но и во время их обработки. Это критически важно: взлом такой системы мог бы позволить злоумышленникам получить доступ ко всей личной переписке, обрабатываемой облачным сервисом.

Однако исследователи из ETH Zurich выявили уязвимость, получившую название RMPocalypse. Она позволяет обойти механизмы защиты конфиденциальных сред, открывая злоумышленникам доступ к секретной информации. Эта аппаратная проблема, по словам исследователей, может быть использована с помощью относительно простых методов атаки, при этом ее серьезность оценивается в 6.0 по шкале CVSS.

Уязвимость затрагивает технологии защиты, разработанные компанией AMD, и применима к тем облачным средам, которые используют их процессоры и решения для безопасности. Это включает среды таких крупных провайдеров, как Microsoft Azure, Google Cloud и Amazon Web Services. Широкое распространение технологий AMD делает RMPocalypse особенно значимой, поскольку она подрывает доверие к безопасности облачных вычислений.

Исследователи продемонстрировали, что уязвимость в таблице обратного отображения памяти (RMP) современных процессоров может быть использована для получения доступа ко всем протестированным рабочим нагрузкам со 100%-ной вероятностью. Проблема возникает на этапе запуска виртуальной машины, когда часть механизма безопасности остается незащищенной. Это позволяет удаленным злоумышленникам обойти изоляцию и получить доступ к конфиденциальным данным, включая выполнение скрытых функций, подделку аттестаций безопасности и внедрение стороннего кода.

Исследовательская группа оперативно уведомила AMD об обнаружении. Это позволило компании своевременно устранить уязвимость и внедрить необходимые меры безопасности. Технологии конфиденциальных вычислений играют важную роль в обеспечении цифрового суверенитета, позволяя защищать данные даже в процессе обработки, что особенно ценно для стран, стремящихся усилить безопасность своих цифровых данных.