Sicherheitsforscher haben eine schwerwiegende Schwachstelle in AMDs Speicherschutzmechanismen aufgedeckt, die weitreichende Folgen für die Sicherheit von Cloud-Infrastrukturen haben könnte. Die als „BadRAM“ bezeichnete Sicherheitslücke ermöglicht es Angreifern, den fortschrittlichen Speicherschutzmechanismus AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging) mit minimalen Hardwarekosten von etwa 10 Dollar zu umgehen.
Technische Details der BadRAM-Schwachstelle
Der Angriff zielt auf den Serial Presence Detect (SPD)-Chip ab, der sich auf DDR4-Speichermodulen befindet. Durch Manipulation der SPD-Daten kann ein Angreifer das System täuschen, sodass es doppelt so viel Arbeitsspeicher erkennt wie tatsächlich vorhanden. Diese „Phantom-Speicherbereiche“ ermöglichen den unauthorisierten Zugriff auf geschützte Daten virtueller Maschinen, wodurch die Isolation zwischen verschiedenen Cloud-Workloads kompromittiert werden kann.
Betroffene Systeme und Auswirkungen
Die Schwachstelle betrifft AMD Epyc-Prozessoren der dritten und vierten Generation, die in zahlreichen Rechenzentren großer Cloud-Anbieter wie Amazon AWS, Google Cloud und Microsoft Azure zum Einsatz kommen. Besonders kritisch ist, dass der Angriff nicht nur den Zugriff auf geschützte Speicherbereiche ermöglicht, sondern auch kryptographische Attestierungsmechanismen umgehen kann.
Besondere Risiken bei Corsair-Speichermodulen
Im Rahmen ihrer Untersuchungen stellten die Forscher fest, dass bestimmte Corsair DDR4-Speichermodule besonders anfällig sind. Diese Module verfügen über eine ungeschützte SPD-Konfiguration, wodurch sie sogar ohne physischen Zugriff durch rein softwarebasierte Angriffe kompromittiert werden können.
Sicherheitsmaßnahmen und Empfehlungen
AMD hat die Schwachstelle als CVE-2024-21944 und AMD-SB-3015 klassifiziert und mit einem CVSS-Score von 5,3 bewertet. Das Unternehmen hat bereits Sicherheitsupdates veröffentlicht und empfiehlt dringend den Einsatz von Speichermodulen mit gesperrter SPD-Konfiguration. Zusätzlich wird die Bedeutung physischer Sicherheitsmaßnahmen für Serverinfrastrukturen hervorgehoben.
Die Entdeckung von BadRAM unterstreicht die zunehmende Komplexität moderner IT-Sicherheit und die Notwendigkeit eines ganzheitlichen Schutzkonzepts. Organisationen sollten umgehend die verfügbaren Sicherheitsupdates implementieren, ihre physischen Sicherheitsmaßnahmen überprüfen und gegebenenfalls ihre Hardware-Konfigurationen anpassen. Eine regelmäßige Überprüfung der Sicherheitsarchitektur und die Implementierung mehrschichtiger Schutzmaßnahmen sind unerlässlich, um die Integrität von Cloud-Workloads auch in Zukunft gewährleisten zu können.
