Die neu dokumentierte Hardware-Schwachstelle StackWarp (CVE-2025-29943) stellt die Sicherheitsziele von Confidential Computing auf AMD-Plattformen in Frage. Forschende des Helmholtz-Zentrums CISPA zeigen, dass sich mit dieser Schwachstelle die Integrität von Confidential Virtual Machines (Confidential VMs) kompromittieren lässt – trotz aktivierter AMD SEV-SNP-Technologie, die genau diese Isolation zwischen Host und Gast garantieren soll.
Wie AMD SEV-SNP funktionieren soll – und wo StackWarp angreift
SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging) verschlüsselt den Arbeitsspeicher jeder virtuellen Maschine (VM) und behandelt Hypervisor und Host-Betriebssystem als nicht vertrauenswürdig. Ziel ist, dass der Betreiber der Infrastruktur zwar Ressourcen bereitstellt, aber keine Einblicke in Code und Daten der Mandanten erhält.
StackWarp unterläuft diese Annahme eines potenziell bösartigen Hosts. Laut AMD handelt es sich um einen Fehler in der Zugriffskontrolle auf eine bestimmte Pipeline-Konfiguration. In der Folge kann ein privilegierter Angreifer auf dem Host den Stack Pointer innerhalb einer geschützten VM manipulieren und damit den Programmablauf gezielt beeinflussen.
Technischer Hintergrund: Manipulation eines undokumentierten MSR-Bits
Nach Analyse der CISPA-Forschenden hängt StackWarp mit einem bislang nicht dokumentierten Bit in einem Model-Specific Register (MSR) der betroffenen AMD-Prozessoren zusammen. Wird SMT/Hyper-Threading genutzt, können zwei logische Kerne ein physisches Kern-Frontend teilen. Genau hier setzt der Angriff an.
Führt ein Angreifer Code auf dem Schwester-Thread desselben physischen Kerns aus, kann er den Zustand dieses MSR-Bits verändern und damit das Verhalten des Stack Pointers der Confidential VM beeinflussen, die auf dem anderen logischen Kern läuft. Das ermöglicht gezielte Fehler in Stack-Operationen, etwa bei Funktionsaufrufen oder Interrupt-Handling.
Moegliche Angriffsfolgen durch StackWarp
Aus dieser Fehlsteuerung ergeben sich mehrere Angriffsszenarien:
- Control-Flow-Hijacking: Umleiten des Programmflusses auf vom Angreifer gewählte Speicherbereiche.
- Verfälschung kritischer Stack-Daten, etwa Rücksprungadressen oder Frame-Pointer.
- Remote Code Execution und Privilegieneskalation innerhalb der VM, bis hin zu Kernel-Rechten.
- Extraktion sensibler Informationen wie Passwörter, Tokens oder kryptografische Schlüssel aus eigentlich geschützten Speicherbereichen.
In ihren Proof-of-Concepts gelang es den Forschenden unter anderem, aus nur einer fehlerhaften RSA‑2048-Signatur den privaten Schlüssel zu rekonstruieren, Authentifizierungsmechanismen von OpenSSH und sudo zu umgehen und schlussendlich beliebigen Code im Kernel-Modus innerhalb einer Confidential VM auszuführen.
Betroffene AMD-Prozessoren und Einsatzszenarien
StackWarp betrifft AMD-CPUs auf Basis der Architekturen Zen 1, Zen 2, Zen 3, Zen 4 und Zen 5. Dazu gehören insbesondere die weit verbreiteten Serverprozessoren der Reihe AMD EPYC, die in Public-Cloud-Umgebungen, Hosting-Rechenzentren und unternehmenskritischen Virtualisierungslösungen eingesetzt werden. Die vollständige Liste wird in den AMD Security Bulletins geführt.
Entscheidend für die Risikoabwägung ist, dass die Ausnutzung von CVE-2025-29943 privilegierten Zugriff auf den Host erfordert. Damit kommen vor allem drei Bedrohungsbilder in Betracht: kompromittierte Management-Systeme des Providers, erfolgreiche Angriffe auf die Virtualisierungs-Umgebung selbst sowie Insider mit erweiterten Rechten, etwa Administratoren.
Implikationen fuer Cloud-Security und Confidential Computing
Auch wenn dieser hohe Zugriffsbedarf in der Praxis eine Hürde darstellt, ist die sicherheitstechnische Tragweite erheblich. Die Forschenden betonen, dass mit StackWarp die bisher unterstellte strikte Integrität und Isolation von Confidential VMs unter SEV-SNP nicht mehr als garantiert gelten kann.
Im Klartext bedeutet das für Unternehmen und Cloud-Kunden:
- Schutzmechanismen für Schlüsselmaterial (TLS, SSH, VPN), Zugangsdaten und Secrets in Confidential VMs müssen neu bewertet werden.
- Ein erfolgreicher Angreifer kann sich mithilfe gestohlener Schlüssel als legitimer Dienst oder Benutzer ausgeben und so seitliche Bewegungen in der Infrastruktur durchführen.
- Langfristige Persistenz in eigentlich gehärteten Systemen wird einfacher, da SEV-SNP nicht mehr als letzte Verteidigungslinie dient.
- Das Vertrauen in Multi-Tenant-Clouds auf AMD-Basis wird geschwächt, insbesondere bei stark regulierten Branchen, die auf Confidential Computing setzen.
Bewertung durch AMD und Verfuegbarkeit von Patches
AMD selbst stuft CVE-2025-29943 als Schwachstelle mit niedriger Schwere ein. Begründet wird dies damit, dass ein Angreifer bereits umfassende Host-Privilegien besitzen muss. Dennoch hat der Hersteller Microcode-Updates für AMD-EPYC-Prozessoren bereitgestellt, die nach eigenen Angaben seit Juli 2025 verfügbar sind.
Ergänzende AGESA-Updates für EPYC Embedded 8004 und 9004 sind laut AMD für April 2026 angekündigt. Betreiber sollten die einschlägigen AMD-Sicherheitsbulletins sowie Firmware-Updates von Mainboard-Herstellern und Hypervisor-Anbietern eng verfolgen.
Empfohlene Massnahmen zur Risikominimierung
Organisationen, die AMD SEV-SNP produktiv für Confidential VMs einsetzen, sollten kurzfristig und strukturiert reagieren:
- Microcode und Firmware zeitnah aktualisieren, sobald passende Versionen für die eigene Plattform veröffentlicht sind, und Rollout-Prozesse für kritische Hosts priorisieren.
- Die Bedrohungsmodelle für Confidential Computing überarbeiten und den Host nicht allein aufgrund von SEV-SNP als vertrauenswürdig einstufen – insbesondere in ausgelagerten oder Multi-Tenant-Umgebungen.
- Zugriffsrechte für Administratoren und Service-Accounts konsequent nach dem Least-Privilege-Prinzip gestalten und Aktivitäten engmaschig protokollieren und überwachen.
- Starke Schlüsselverwaltung etablieren (HSM, KMS, regelmässige Schlüsseldrehung), um den Schaden bei möglicher Schlüsselkompromittierung zu begrenzen.
- Den Einsatz von SMT/Hyper-Threading auf besonders sensiblen Systemen kritisch prüfen und bei Bedarf deaktivieren, sofern Performance-Anforderungen dies zulassen.
StackWarp macht deutlich, dass selbst moderne Hardware-Sicherheitsfunktionen wie SEV-SNP kein absolutes Sicherheitsversprechen geben. Unternehmen, die auf Confidential VMs und Cloud-Ressourcen setzen, sollten Patches zügig einspielen, ihre Sicherheitsarchitektur regelmässig testen und aktuelle Hardware-Forschung beobachten. Wer die Grenzen und Annahmen seiner Schutzmechanismen kennt, kann geeignete Kompensationsmassnahmen planen und so die Vertraulichkeit und Integrität geschäftskritischer Daten langfristig wirksam absichern.
