Investigadores del Centro Helmholtz para la Seguridad de la Información (CISPA) han documentado en detalle StackWarp (CVE-2025-29943), una vulnerabilidad de hardware que afecta a un amplio rango de procesadores AMD basados en arquitecturas Zen 1 a Zen 5. El hallazgo es especialmente relevante porque permite alterar la ejecución de código dentro de confidential virtual machines (confidential VMs), debilitando el modelo de seguridad de AMD SEV-SNP en entornos cloud y de virtualización avanzada.
Qué es StackWarp y por qué amenaza el modelo de seguridad de AMD SEV-SNP
SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging) es la tecnología de referencia de AMD para proteger máquinas virtuales en la nube: la memoria de cada VM se cifra y, por diseño, el hipervisor y el sistema operativo del host se consideran no confiables. El objetivo es que incluso un proveedor cloud o administrador malicioso no pueda inspeccionar ni manipular el interior de una VM protegida.
La vulnerabilidad StackWarp cuestiona directamente esta premisa. Según la descripción de AMD, el problema se origina en un control de acceso incorrecto a una configuración específica del pipeline del procesador. Como consecuencia, un atacante con privilegios elevados en el host puede corromper o modificar el puntero de pila (stack pointer) de una VM protegida y, con ello, desviar el flujo de ejecución de su código.
Funcionamiento técnico de la vulnerabilidad StackWarp (CVE-2025-29943)
Manipulación de registros MSR y del puntero de pila
De acuerdo con los investigadores de CISPA, StackWarp se basa en la manipulación de un bit previamente no documentado en uno de los MSR (Model-Specific Registers) del procesador. Cuando está habilitada la tecnología SMT / Hyper-Threading, un atacante que ejecute código en el hilo lógico vecino dentro del mismo núcleo físico puede alternar el valor de este bit y modificar así el comportamiento del puntero de pila de la VM protegida.
Este comportamiento abre la puerta a un abanico amplio de ataques sobre el flujo de control y la memoria de la víctima, explotando una debilidad puramente de hardware y, por tanto, difícil de mitigar únicamente desde el software invitado.
Escenarios de ataque demostrados por los investigadores
El equipo de CISPA mostró que StackWarp permite:
- Secuestrar el flujo de control (control-flow hijacking) de procesos dentro de la VM.
- Alterar datos críticos en la pila y lograr ejecución remota de código con elevación de privilegios.
- Extraer secretos altamente sensibles, como claves criptográficas y credenciales.
En pruebas de laboratorio, los investigadores consiguieron, entre otros resultados, reconstruir una clave privada RSA‑2048 a partir de una sola firma digital defectuosa, eludir la autenticación de OpenSSH y evitar la solicitud de contraseña de sudo. En uno de los ejemplos más críticos se demostró ejecución de código en modo kernel dentro de la máquina virtual, lo que equivale a un control pleno de su sistema operativo.
Procesadores AMD afectados por StackWarp y alcance del impacto
La vulnerabilidad CVE-2025-29943 afecta a procesadores AMD basados en arquitecturas Zen 1, Zen 2, Zen 3, Zen 4 y Zen 5, incluyendo las familias de servidores AMD EPYC que sustentan gran parte de las infraestructuras de centros de datos y nubes públicas. El listado detallado de modelos se publica en los AMD Security Bulletins.
Es importante subrayar que la explotación de StackWarp requiere acceso privilegiado al host o hipervisor donde se ejecutan las confidential VMs. Esto eleva de forma notable la barrera de entrada: el escenario más realista implica un proveedor cloud comprometido, un atacante que haya escalado hasta el nivel del hipervisor o un posible insider con privilegios administrativos.
Riesgos para proveedores cloud y entornos corporativos basados en AMD SEV-SNP
Aunque la necesidad de privilegios de alto nivel limita los vectores de ataque, el impacto sobre el modelo de seguridad de virtualización cifrada de AMD es significativo. Los investigadores concluyen que la integridad de ejecución de las confidential VMs y la separación estricta entre host y huésped dejan de estar plenamente garantizadas cuando StackWarp es explotable.
En términos prácticos, esto implica que:
- Claves TLS y SSH, contraseñas y tokens pueden ser extraídos de la memoria de la VM.
- Un atacante puede hacerse pasar por usuarios y servicios legítimos utilizando las claves robadas.
- Se facilita la persistencia a largo plazo en sistemas críticos, incluso con SEV-SNP activado.
- Se reduce la confianza en entornos multi-tenant basados en AMD, donde múltiples clientes comparten la misma infraestructura física.
Respuesta de AMD y estado de los parches de seguridad
AMD ha clasificado CVE-2025-29943 con un nivel de severidad bajo, argumentando que es imprescindible contar con privilegios elevados en el host para llevar a cabo la explotación. Pese a ello, la compañía ha publicado actualizaciones de microcódigo para las CPU de servidor AMD EPYC, disponibles —según el fabricante— desde julio de 2025.
Adicionalmente, se han planificado actualizaciones AGESA para las series EPYC Embedded 8004 y 9004 con fecha prevista en abril de 2026. Los administradores deben seguir de cerca los boletines de seguridad de AMD y las actualizaciones de firmware de placas base e hipervisores para asegurarse de que la mitigación de StackWarp está desplegada.
Medidas de mitigación y recomendaciones para reforzar la ciberseguridad
Para organizaciones que dependen de AMD SEV-SNP y de confidential VMs en sus estrategias de seguridad en la nube, resulta aconsejable:
- Planificar de inmediato la actualización de microcódigo y firmware a versiones que incluyan el parche de CVE-2025-29943 en todas las plataformas afectadas.
- Revisar la modelo de amenazas y dejar de asumir que el host y el hipervisor son “suficientemente confiables” solo por activar SEV-SNP, especialmente en entornos externalizados y multi-tenant.
- Endurecer el control de acceso privilegiado, aplicar el principio de mínimo privilegio y monitorizar las acciones de administradores e identidades de servicio.
- Implantar autenticación multifactor y un gobierno estricto de claves (HSM, KMS, rotación periódica) para limitar el impacto de una posible filtración.
- Evaluar la posibilidad de restringir u optar por desactivar SMT/Hyper-Threading en hosts especialmente sensibles, si el impacto en rendimiento es asumible.
StackWarp demuestra que incluso los mecanismos de protección de hardware más avanzados, como AMD SEV-SNP, no son una garantía absoluta de aislamiento. Las organizaciones que dependen de la virtualización cifrada deben combinar la aplicación rápida de parches con una arquitectura de seguridad por capas, pruebas de penetración periódicas y un seguimiento activo de la investigación en seguridad de hardware. Profundizar en las limitaciones reales de las tecnologías empleadas es clave para proteger de forma eficaz los datos y servicios más críticos.
