Исследователи Центра информационной безопасности имени Гельмгольца (CISPA) представили подробное описание аппаратной уязвимости StackWarp (CVE-2025-29943), затрагивающей широкий спектр процессоров AMD – от архитектуры Zen 1 до Zen 5. Ошибка позволяет нарушать целостность выполнения кода в конфиденциальных виртуальных машинах (Confidential VMs), обходя механизм защиты AMD SEV-SNP, который изначально предназначен для изоляции гостевых систем от недоверенного хоста.
Что такое StackWarp и почему это важно для безопасности AMD SEV-SNP
SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging) – это флагманская технология AMD для защиты виртуальных машин в облаке: память ВМ шифруется, а гипервизору и хостовой ОС не доверяют по умолчанию. StackWarp подрывает именно эту модель недоверенного хоста, показывая, что даже при включённом SEV-SNP атакующий с высоким уровнем привилегий на хосте способен вмешаться в выполнение кода внутри защищённой ВМ.
Суть проблемы AMD описывает как «некорректный контроль доступа» к определённой конфигурации процессорного конвейера. В результате злоумышленник может повредить или изменить данные указателя стека (stack pointer) внутри гостевой виртуальной машины и перехватить управление потоком выполнения.
Технические детали: как работает атака StackWarp
По данным исследователей CISPA, уязвимость связана с манипуляцией ранее не документированным битом в одном из регистров MSR (Model-Specific Register) процессора. Если включена технология SMT/Hyper-Threading, атакующий, запустивший код на соседнем логическом ядре того же физического ядра, может менять состояние этого бита и таким образом воздействовать на поведение указателя стека защищённой ВМ.
Это открывает возможность для целого класса атак:
- перенаправление потока выполнения программы (control-flow hijacking);
- изменение критически важных данных в стеке;
- организация удалённого выполнения кода и повышения привилегий внутри конфиденциальной ВМ;
- извлечение секретов и криптографических ключей из памяти защищённых окружений.
В демонстрационных сценариях исследователям удалось, в частности, восстановить приватный ключ RSA‑2048 из одной ошибочной цифровой подписи, а также обойти аутентификацию OpenSSH и запрос пароля sudo. В одном из примеров была показана возможность выполнения кода в режиме ядра внутри виртуальной машины, что фактически даёт полный контроль над её операционной системой.
Какие процессоры AMD подвержены StackWarp (CVE-2025-29943)
Под уязвимость попадают процессоры AMD на архитектурах Zen 1, Zen 2, Zen 3, Zen 4 и Zen 5, включая серверные линейки AMD EPYC, широко используемые в облачных дата-центрах и корпоративных виртуализированных инфраструктурах. Полный перечень моделей публикуется AMD в бюллетенях безопасности.
Важно подчеркнуть, что эксплуатация StackWarp требует привилегированного доступа к хост-серверу, на котором запускаются конфиденциальные виртуальные машины. Это значительно повышает порог входа для атаки: речь идёт либо о злоумышленниках, уже захвативших инфраструктуру провайдера или компании, либо о потенциально недобросовестных администраторах и инсайдерах.
Риски для облачных провайдеров и корпоративной инфраструктуры
Несмотря на необходимость высокого уровня доступа, последствия успешной эксплуатации StackWarp критичны для моделей безопасности, основанных на SEV-SNP. Исследователи подчёркивают, что:
«Целостность выполнения конфиденциальных виртуальных машин и изоляция между хостом и гостями больше не могут считаться гарантированными».
На практике это означает, что:
- конфиденциальные ключи (например, TLS или SSH), пароли и токены доступа могут быть украдены из памяти ВМ;
- появляется возможность долговременного закрепления в целевых системах, даже при формально включённой защите SEV-SNP;
- снижается доверие к мультиарендным (multi-tenant) облачным средам на базе AMD, где один провайдер обслуживает множество клиентов.
Позиция AMD и доступность обновлений безопасности
AMD присвоила CVE-2025-29943 низкий уровень опасности, аргументируя это необходимостью привилегированного доступа к хосту для успешной атаки. Тем не менее, компания выпустила обновления микрокода для серверных процессоров AMD EPYC, которые, по заявлению производителя, доступны с июля 2025 года.
Дополнительные обновления AGESA для серий EPYC Embedded 8004 и 9004 запланированы на апрель 2026 года. Администраторам инфраструктуры на базе AMD рекомендуется внимательно отслеживать публикации AMD Security Bulletins и обновления прошивок системных плат и гипервизоров.
Рекомендации по снижению рисков и практические шаги
С учётом характера уязвимости StackWarp организациям, использующим AMD SEV-SNP для защиты конфиденциальных ВМ, целесообразно:
- Немедленно планировать обновление микрокода и прошивок до версий с исправлением CVE-2025-29943 по мере их выхода для соответствующих платформ.
- Пересмотреть модель угроз: не считать хост и гипервизор «достаточно доверенными» только из‑за включения SEV-SNP, особенно в мультиарендных и аутсорсинговых сценариях.
- Усилить контроль доступа и мониторинг действий администраторов и сервисных учётных записей, минимизировать количество привилегированных пользователей.
- Использовать многофакторную аутентификацию и жёсткое управление ключами (HSM, KMS, ротация ключей), снижая ущерб в случае их компрометации.
- Оценить возможность ограничения или отключения SMT/Hyper-Threading на особо критичных хостах, если это допустимо с точки зрения производительности.
StackWarp наглядно демонстрирует, что даже самые продвинутые аппаратные механизмы защиты, такие как SEV-SNP, не являются абсолютной гарантией изоляции. Для организаций, строящих стратегии на основе конфиденциальных виртуальных машин, важно не только своевременно внедрять патчи, но и регулярно пересматривать архитектуру безопасности, проводить тесты на проникновение и следить за новыми аппаратными исследованиями. Чем лучше вы понимаете реальные ограничения используемых технологий, тем надёжнее сможете защитить критичные данные и сервисы.
