RMPocalypse：单次 8 字节写入破坏 AMD 的 SEV-SNP 机密计算

芯片制造商 AMD 发布了修复程序，以解决名为RMPocalypse的安全漏洞，该漏洞可能被利用来破坏安全嵌套分页安全加密虚拟化 ( SEV-SNP ) 提供的机密计算保证。

苏黎世联邦理工学院的研究人员 Benedict Schlüter 和 Shweta Shinde 表示，此次攻击利用了 AMD 不完整的保护措施，使得可以对反向映射分页 (RMP) 表执行单次内存写入，该表是一种用于存储系统中所有 DRAM 页面的安全元数据的数据结构。

根据 AMD 的规范文档，反向映射表 (RMP) 是一种驻留在 DRAM 中的结构，它将系统物理地址 (sPA) 映射到客户物理地址 (gPA)。整个系统只有一个 RMP，它使用 x86 模型专用寄存器 (MSR) 进行配置。

“RMP 还包含各种安全属性，这些属性由虚拟机管理程序通过硬件介导和固件介导的控制进行管理。”

AMD 利用所谓的平台安全处理器 (PSP) 来初始化 RMP，这对于在平台上启用 SEV-SNP 至关重要。RMPocalypse 利用此初始化步骤中的内存管理漏洞，允许攻击者访问敏感信息，从而违反 SEV-SNP 的机密性和完整性保护措施。

问题的核心是安全机制本身缺乏足够的保障——由于虚拟机启动时 RMP 没有得到充分保护，从而导致出现一种进退维谷的局面，这实际上为 RMP 损坏打开了方便之门。

DFIR 保留服务
苏黎世联邦理工学院表示：“该漏洞可能允许拥有远程访问权限的攻击者绕过某些保护功能，并操纵旨在实现安全隔离的虚拟机环境。攻击者可以利用此漏洞激活隐藏功能（例如调试模式）、模拟安全检查（所谓的证明伪造）以及恢复先前状态（重放攻击），甚至注入外部代码。”

研究人员发现，成功利用 RMPocalypse 可以让恶意行为者任意篡改机密虚拟机 (CVM) 的执行，并以 100% 的成功率泄露所有机密。

针对这一发现，AMD 已为该漏洞分配了 CVE 标识符 CVE-2025-0033（CVSS v4 评分：5.9），并将其描述为 AMD 安全处理器（ASP 或 PSP）初始化 RMP 时可能出现的竞争条件。因此，它可能允许恶意虚拟机管理程序操纵初始 RMP 内容，从而可能导致 SEV-SNP 客户机内存完整性受损。

该芯片制造商在周一发布的安全公告中指出： “AMD SEV-SNP 内部的不当访问控制可能允许具有管理员权限的攻击者在 SNP 初始化期间写入 RMP，从而可能导致 SEV-SNP 客户内存完整性丧失。”

AMD 透露，以下芯片组受到该漏洞的影响 -

AMD EPYC™ 7003 系列处理器
AMD EPYC™ 8004 系列处理器
AMD EPYC™ 9004 系列处理器
AMD EPYC™ 9005 系列处理器
AMD EPYC™ 嵌入式 7003 系列处理器（修复计划于 2025 年 11 月发布）
AMD EPYC™ 嵌入式 8004 系列处理器
AMD EPYC™ 嵌入式 9004 系列处理器
AMD EPYC™ 嵌入式 9004 系列处理器
AMD EPYC™ 嵌入式 9005 系列处理器（修复计划于 2025 年 11 月发布）
微软和超微也承认了 CVE-2025-0033 漏洞的存在，这家 Windows 制造商表示正在努力修复 Azure 机密计算 (ACC) 基于 AMD 的集群中的漏洞。超微表示，受影响的主板 SKU 需要进行 BIOS 更新才能修复该漏洞。

CIS 构建套件
研究人员表示：“RMPocalypse 表明 AMD 的平台保护机制并不完善，因此给攻击者留下了在初始化时恶意覆盖 RMP 的机会。由于 RMP 的设计，在 RMP 中覆盖 8 个字节就会导致整个 RMP 随后被攻陷。”

一旦 RMP 被攻破，SEV-SNP 的所有完整性保证都将失效。RMPocalypse 案例研究表明，攻击者控制的 RMP 不仅会破坏完整性，还会导致机密性完全泄露。

几周前，鲁汶大学和伯明翰大学的一组学者展示了一种名为“Battering RAM”的新漏洞，该漏洞可以绕过英特尔和 AMD 云处理器上的最新防御措施。