AMDのSecure Encrypted Virtualization(SEV)技術に、深刻な脆弱性(CVE-2024-56161)が発見された。この脆弱性により、管理者権限を持つ攻撃者が不正なCPUマイクロコードを挿入し、仮想マシンの機密性と整合性が損なわれる可能性がある。問題の原因は、マイクロコードパッチローダーの署名検証における不備であり、特定のハッシュ関数の脆弱性を悪用される恐れがある。

影響を受けるのは、Zen 1からZen 4アーキテクチャまでの複数世代のプロセッサで、データセンターで広く使用されているEPYC™サーバーCPUも含まれる。AMDは、AGESA™プラットフォーム初期化パッケージを通じてファームウェアアップデートを提供しており、ユーザーはOEMからの最新のBIOSアップデートを速やかに適用することが推奨される。

また、SEV-SNPアテステーションレポートの定期的な確認や、管理者アクセスの制限、異常な活動の監視などの追加対策も重要である。この脆弱性は、Googleの研究者チームによって発見され、CVSSスコアは7.2(高)と評価されている。

AMD SEV-SNPの根幹を揺るがす脆弱性の仕組みとは

今回発覚したCVE-2024-56161は、AMDのSecure Encrypted Virtualization(SEV-SNP)における重大な欠陥だ。問題の本質は、CPUのマイクロコードパッチローダーが適切な署名検証を行わず、不正なマイクロコードのロードを許してしまう点にある。マイクロコードは、プロセッサの基本動作を制御する極めて低レベルのコードであり、攻撃者が改ざんすることでCPUの挙動を思いのままに操作できる。

特に影響が大きいのは、SEV-SNPによる仮想マシン(VM)の保護機能が無効化される点だ。SEV-SNPは、仮想化環境におけるデータの機密性と整合性を保証するため、暗号化とメモリ整合性チェックを組み合わせた高度な保護技術を提供する。

ところが、今回の脆弱性により、管理者権限を持つ攻撃者が不正なマイクロコードを仕込むことで、仮想マシンのデータを改ざんしたり、復号化して抜き取ったりすることが可能になる。

この問題が厄介なのは、マイクロコードの改ざんが検知されにくい点にある。通常、セキュリティ侵害の兆候はログやアラートとして記録されるが、CPUレベルでの改ざんが行われると、OSやセキュリティソフトウェアによる検知が極めて困難になる。これは、通常のソフトウェア攻撃とは異なり、ハードウェアそのものを標的にした高度な攻撃であるためだ。

また、影響範囲が広い点も見逃せない。この脆弱性は、Zen 1からZen 4までのアーキテクチャを採用するAMDプロセッサに影響を及ぼし、特にデータセンター向けのEPYC™シリーズのサーバーCPUに深刻なリスクをもたらす。EPYCは、大規模クラウドインフラや機密データを扱う環境で広く使用されているため、攻撃者にとっては魅力的な標的となる。

AMDはAGESA™のアップデートにより問題を修正すると発表しているが、すべてのシステムが即座に更新されるとは限らない。特に、企業やデータセンターでは、BIOSやファームウェアの更新は慎重に実施されるため、攻撃の余地が残る可能性がある。この点が、今回の脆弱性の深刻さをさらに際立たせている。

仮想化環境に与える影響と考えられる攻撃シナリオ

この脆弱性がもたらす最も重大な影響の一つは、クラウド環境における仮想マシンのセキュリティ崩壊だ。多くのクラウドプロバイダーは、AMDのSEV-SNP技術を活用して顧客データを保護している。だが、今回の脆弱性により、攻撃者がクラウド上の仮想マシンを乗っ取る可能性が生じている。

具体的な攻撃シナリオとして考えられるのは、データセンターの管理者権限を持つ内部関係者による攻撃だ。例えば、クラウドホスティング企業の不正な従業員が、脆弱性を悪用してマイクロコードを改ざんし、特定の顧客のデータを復号化するといったケースが考えられる。

従来のサイドチャネル攻撃では、データを直接抜き取るのは困難だったが、今回の脆弱性を悪用すれば、SEV-SNPの暗号化をバイパスし、仮想マシンのメモリを直接読み取ることが可能になる。

また、もう一つのシナリオとして、マルウェアの高度な持続化攻撃(Persistent Threat)への悪用が考えられる。従来のマルウェアは、OSのアップデートや再インストールによって除去できるケースが多かった。

しかし、CPUのマイクロコードが改ざんされると、マルウェアがハードウェアレベルで潜伏し、OSの変更や再インストールを行っても削除できなくなる可能性がある。これは「マイクロコード・ルートキット」とも呼ばれる技術で、通常のセキュリティ対策では検出・除去が困難だ。

さらに、国家レベルのサイバー攻撃に悪用される可能性も指摘されている。高度な攻撃技術を持つ国家支援型ハッカーが、この脆弱性を利用してクラウド基盤に潜入し、政府機関や企業の機密情報を盗み取るリスクがある。特に、EPYCプロセッサは政府系データセンターでも採用されているため、潜在的な影響は計り知れない。

これらのリスクを踏まえると、単なるファームウェア更新だけでは不十分で、より広範なセキュリティ対策が求められる。

AMDの対策と今後求められるセキュリティ意識の変革

AMDはすでにAGESA™の更新を提供しており、最新のSEVファームウェアとBIOSアップデートを適用することで脆弱性を緩和できる。しかし、今回の事例は、ソフトウェアレベルの対策だけでは十分でないことを示している。

まず、影響を受けるシステム管理者は、BIOSアップデートが適用されているか定期的に確認することが重要だ。特に、データセンター環境では、サーバーごとに異なる管理ポリシーが適用されているため、すべてのサーバーが最新のセキュリティパッチを適用しているか検証する必要がある。SEV-SNPのアテステーション機能を活用し、暗号化された仮想マシンが正しく保護されているかを監視するのも有効な対策となる。

また、CPUマイクロコードのセキュリティを強化するため、AMDだけでなく、システム管理者側でも追加の対策が求められる。

例えば、マイクロコードのロードを制限し、不正なアップデートが適用されないようにする仕組みを導入することで、攻撃リスクを大幅に低減できる。さらに、異常なマイクロコードの変更を検知する新たなセキュリティ技術の導入も今後の課題となるだろう。

今回の脆弱性は、マイクロコードレベルの攻撃の危険性を改めて浮き彫りにした。ハードウェアに対する攻撃は、一度成功するとシステム全体に深刻な影響を及ぼすため、OSやアプリケーションレベルのセキュリティ対策だけでは不十分だ。今後は、ハードウェアセキュリティへの意識をより高め、マイクロコードの安全性を保証する仕組みの整備が不可欠となる。

Source:Cyber Security News