FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

苏黎世联邦理工学院研究团队披露了一个被命名为RMPocalypse的关键漏洞（CVE-2025-0033），该漏洞影响了AMD Zen 3、Zen 4和Zen 5处理器系列的机密计算技术。攻击者可利用此漏洞完全攻破受SEV-SNP（安全加密虚拟化-安全嵌套分页）保护的虚拟机，使AMD这项旗舰级云安全功能的所有保密性和完整性保障全部失效。

漏洞技术原理

研究团队在报告中指出："通过RMPocalypse漏洞，我们证实了所有支持SEV-SNP的AMD处理器（Zen 3/4/5）都存在被攻击风险，机密计算的所有安全保证都将失效。"

机密计算技术本应通过将虚拟机（VM）与主机管理程序隔离，来保护不可信云环境中的工作负载。AMD的SEV-SNP通过加密虚拟机内存，并借助反向映射表（RMP）结构实施访问控制，进一步扩展了这种保护机制。

然而研究发现，该技术的核心设计存在致命缺陷："简而言之，RMP是SEV-SNP中阻止管理程序访问机密虚拟机的主要保护机制之一。"研究人员利用"AMD不完善的保护措施，只需对RMP执行一次内存写入操作，即可攻破SEV-SNP。"

攻击实施细节

该漏洞利用了SEV-SNP初始化过程中AMD可信内存区域（TMR）与缓存一致性机制之间的错位问题。当保护机制尚未完全激活时，恶意管理程序可插入"指向RMP内存的脏缓存行"。当平台从TMR切换到RMP强制执行时，攻击者可刷新这些缓存行——将任意数据写入受保护的RMP区域。

研究团队总结漏洞影响称："RMPocalypse表明AMD的平台保护机制并不完善，为攻击者在初始化阶段恶意覆盖RMP留下了可乘之机。由于RMP的设计特性，只需覆盖RMP中的8字节数据，就会导致整个RMP随后被完全攻破。"

漏洞危害程度

通过这8字节的覆盖操作，攻击者可伪造认证值、启用调试模式、读取或修改加密的CVM内存。研究人员补充道："RMP一旦被攻破，SEV-SNP的所有完整性保证都将失效......导致完全的保密性破坏。"

与许多基于推测或时序的攻击不同，RMPocalypse具有确定性——每次攻击都能成功。"我们在SEV初始化阶段实施RMP破坏。由于恶意写入总能成功，RMPocalypse具有确定性。"通过针对根RMP条目，攻击者可破坏机密虚拟机（CVM）的所有元数据，包括认证哈希和调试标志，从而完全控制受保护环境。

研究团队在案例研究中实现了100%的成功率："我们能够任意篡改机密虚拟机的执行，并以100%的成功率窃取所有机密数据。"

漏洞触发机制

攻击始于RMP设置阶段，此时AMD平台安全处理器（PSP）正在配置保护措施。在此期间，TMR屏障会阻止DRAM写入操作——但无法防止x86核心造成的缓存污染。研究报告解释称："TMR屏障仅在内存控制器层面阻止内存访问，无法阻止缓存污染。"当PSP完成初始化并解除TMR屏障时，恶意缓存行会直接刷新到DRAM——在SEV-SNP验证生效前破坏RMP。

"这就在RMP初始化期间留下了一个时间窗口，x86核心可以刷新先前创建的脏缓存行条目......同时绕过两种保护机制。"

潜在攻击能力

该漏洞直击基于云的机密计算核心，租户原本依赖硬件隔离的虚拟机来保护敏感工作负载免受不可信管理程序的侵害。通过攻破SEV-SNP，RMPocalypse实际上消除了云租户与提供商之间的安全边界。潜在攻击能力包括：

• 完全访问加密虚拟机的内存
• 篡改认证机制，破坏对虚拟机完整性检查的信任
• 重放虚拟机状态或克隆机密环境
• 激活调试功能以提取实时机密

AMD在漏洞披露后承认了该缺陷并发布了固件缓解措施。研究人员证实："AMD已发布固件更新来解决此问题。"

参考来源：

RMPocalypse Flaw (CVE-2025-0033) Bypasses AMD SEV-SNP to Fully Compromise Encrypted VMs

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）