Учёные из Цюрихского федерального технологического института представили исследование, демонстрирующее метод «взлома изоляции» через уязвимость Spectre v2 в виртуальных окружениях. Эксперимент показал, что злоумышленник, имеющий доступ лишь к изолированной ВМ, способен извлечь защищённую информацию, доступную только администратору сервера. Риску подвержены системы на базе процессоров AMD (включая новейшие Zen 5) и Intel Coffee Lake.
Угрозы Spectre для облачных инфраструктур
Мы неоднократно освещали аппаратные уязвимости, связанные со спекулятивным выполнением команд, когда особенности процессоров используются для кражи данных. Подробнее о принципах таких атак можно узнать в наших прошлых публикациях:
- здесь,
- здесь
- и здесь.
С момента обнаружения Spectre в 2018 году ни одно исследование не демонстрировало реалистичный сценарий эксплуатации. Большинство работ ограничивались теоретическими моделями с условным запуском вредоносного кода на целевой системе — подход, теряющий смысл, поскольку при наличии такого доступа существуют более простые методы хищения данных. Это делает Spectre маловероятной угрозой для персональных устройств. Однако в контексте облачных платформ ситуация иная.
Рассмотрим провайдера виртуальных серверов, где клиенты получают изолированные ВМ с правом запуска любых программ. Несанкционированный доступ к данным соседних ВМ или хоста через уязвимости в системе разделения привилегий становится критическим риском. Здесь атаки класса Spectre приобретают практическую значимость.
VMScape: Реализация Spectre v2 в виртуальной среде
Ранние научные работы часто игнорировали реалистичность условий, например, предполагая предварительный взлом гипервизора — сценарий, при котором защита уже скомпрометирована. Исследователи ETH Zurich сосредоточились на устранении таких допущений.
Атака VMScape использует механизм инъекции ветвлений (Branch Target Injection), характерный для Spectre v2. Кратко принцип таков:
- Система предсказания ветвлений ускоряет выполнение программ через спекулятивное выполнение команд до завершения текущих вычислений.
- При успешном прогнозе производительность растёт; при ошибке результаты отбрасываются.
- Инъекция ветвлений позволяет атакующему манипулировать этим процессом, перемещая конфиденциальные данные в кэш, а затем извлекая их через косвенные каналы.
Учёные выявили, что в виртуальных средах разграничение прав между хостом и ВМ реализовано неполно, что открывает путь для нового метода — Virtualization-based Spectre-BTI (vBTI). Эксперимент подтвердил возможность чтения произвольных данных хоста из гостевой ОС со скоростью 32 байта/сек на AMD Zen 4 без сбоев. Этого достаточно для кражи шифровальных ключей и доступа к информации других ВМ.
Возможности эксплуатации VMScape на практике
Уязвимыми оказались серверы с процессорами AMD Zen 1–Zen 5 из-за нюансов в реализации защитных механизмов. У Intel атака работает лишь на устаревших Coffee Lake (2017 г.). Более новые модели архитектур Intel устойчивы к VMScape.
Главное достижение авторов — создание жизнеспособной атаки Spectre v2 без искусственных условий вроде скомпрометированного гипервизора. VMScape обходит стандартные защиты (включая KASLR) и способна украсть критические данные вроде ключей шифрования.
К счастью, исследователи сразу предложили исправление — патч для ядра Linux (CVE-2025-40300), не вызывающий заметного падения производительности. Кроме того, существующие технологии защиты виртуальных сред, такие как SEV-SNP (Secure Encrypted Virtualization) у AMD и TDX (Trusted Domain Extensions) у Intel, обеспечивают дополнительную безопасность, шифруя данные. Тесты подтвердили, что SEV-SNP блокирует VMScape, минимизируя её актуальность для современных систем.
Несмотря на это, эволюция Spectre-подобных атак требует внимания операторов облачных платформ. Каждое исследование делает подобные угрозы всё менее теоретическими, подчёркивая необходимость учёта подобных рисков в моделях безопасности.
