Các nhà nghiên cứu an ninh mạng tại ETH Zurich đã công bố một cuộc tấn công mạng dựa trên Spectre mới, được gọi là VMSCAPE. Cuộc tấn công này khai thác sự cô lập bộ dự đoán nhánh không đầy đủ trong các môi trường đám mây ảo hóa, thể hiện một lỗ hổng CVE nghiêm trọng tiềm ẩn.

Cuộc tấn công, được theo dõi dưới mã CVE-2025-40300, ảnh hưởng đến nhiều thế hệ bộ xử lý của AMD và Intel. Nó cho phép các máy ảo độc hại đánh cắp dữ liệu nhạy cảm từ các tiến trình hypervisor.

VMSCAPE là cuộc tấn công Spectre Branch Target Injection thực tế đầu tiên. Một máy ảo khách độc hại có thể làm rò rỉ bộ nhớ tùy ý từ một hypervisor chưa sửa đổi mà không yêu cầu bất kỳ thay đổi mã nào.

Cuộc tấn công đặc biệt nhắm mục tiêu vào ngăn xếp ảo hóa KVM/QEMU được sử dụng rộng rãi. Nó đã chứng minh khả năng của kẻ tấn công trong việc trích xuất khóa mật mã và các bí mật hạ tầng nhạy cảm khác.

Chi Tiết Kỹ Thuật và Phạm Vi Ảnh Hưởng của VMSCAPE

Trên các bộ xử lý AMD Zen 4, các nhà nghiên cứu đã đạt được tốc độ rò rỉ dữ liệu là 32 byte mỗi giây. Họ đã trích xuất thành công khóa mã hóa và giải mã đĩa trong khoảng 18 phút.

Chuỗi tấn công hoàn chỉnh, bao gồm cả trinh sát ban đầu và xác định vị trí bí mật, yêu cầu khoảng 1.092 giây để thực hiện đầy đủ. Đây là một zero-day vulnerability có khả năng gây thiệt hại lớn.

Một phạm vi rộng lớn các bộ xử lý hiện đại bị ảnh hưởng bởi lỗ hổng CVE này. Bao gồm tất cả các kiến trúc vi mô AMD Zen từ Zen 1 đến Zen 5, cũng như các CPU Intel Coffee Lake.

Nguyên nhân của lỗi là do sự cô lập không đầy đủ trạng thái dự đoán nhánh qua các ranh giới ảo hóa. Cụ thể, vấn đề xảy ra giữa các tiến trình người dùng khách (guest user processes) và các tiến trình người dùng máy chủ (host user processes).

Các nhà nghiên cứu đã xác định nhiều nguyên thủy tấn công mà họ gọi là “Virtualization-based Spectre-BTI” hay vBTI. Những nguyên thủy này cho phép các cuộc tấn công suy đoán xuyên miền.

Các nguyên thủy này hoạt động hiệu quả bất chấp các biện pháp giảm thiểu phần cứng hiện có. Ngay cả khi Enhanced IBRS và Automatic IBRS được bật theo mặc định, chúng vẫn bị bỏ qua.

Phương Pháp Tấn Công Đổi Mới của VMSCAPE

Cuộc tấn công VMSCAPE đã vượt qua nhiều thách thức kỹ thuật đáng kể thông qua một số đổi mới quan trọng.

Các nhà nghiên cứu đã phát triển các kỹ thuật làm trống bộ nhớ đệm (cache eviction) đáng tin cậy đầu tiên cho bộ xử lý AMD Zen 4 và Zen 5. Điều này cho phép họ mở rộng các cửa sổ suy đoán cần thiết để trích xuất dữ liệu thành công.

Cuộc tấn công khai thác các hoạt động Memory Mapped I/O để giành quyền kiểm soát thanh ghi. Đồng thời sử dụng các kỹ thuật bỏ qua ASLR (Address Space Layout Randomization) tinh vi để định vị các vùng bộ nhớ mục tiêu.

Bằng cách tận dụng bộ nhớ chia sẻ giữa máy khách và máy chủ cho các cuộc tấn công kênh bên FLUSH+RELOAD, VMSCAPE đạt được khả năng rò rỉ dữ liệu đáng tin cậy qua ranh giới ảo hóa.

Biện Pháp Giảm Thiểu và Khuyến Nghị Bảo Mật

Sau khi tiết lộ một cách có trách nhiệm cho AMD và Intel PSIRT vào tháng 6 năm 2025, những người bảo trì kernel Linux đã triển khai các bản vá giảm thiểu. Các bản vá này dựa trên Indirect Branch Prediction Barrier khi VM exits.

Các bản vá này chỉ gây ra mức hao tổn hiệu suất tối thiểu trong các kịch bản đám mây điển hình. Chỉ có 1% tác động đến khối lượng công việc nặng về tính toán và lên đến 51% hao tổn cho các hoạt động nặng về I/O.

Các nhà cung cấp đám mây cần áp dụng ngay lập tức các bản vá kernel có sẵn và xem xét các biện pháp tăng cường bảo mật bổ sung. Việc này là cần thiết để bảo vệ khỏi lỗ hổng CVE như VMSCAPE.

Lỗ hổng CVE này gây ra rủi ro đặc biệt trong các môi trường đám mây đa khách thuê. Tại đây, các máy ảo của khách hàng có khả năng truy cập các bí mật hạ tầng hoặc vật liệu mật mã từ các tiến trình hypervisor. Đây là một mối lo ngại lớn về an ninh mạng.

Khám phá về VMSCAPE này làm nổi bật những thách thức liên tục trong việc bảo mật các môi trường ảo hóa phức tạp. Đặc biệt, chống lại các cuộc tấn công microarchitectural tinh vi nhắm mục tiêu vào các cơ chế thực thi suy đoán, là một vấn đề trọng tâm của an ninh mạng hiện nay.

Để biết thêm chi tiết kỹ thuật, bạn có thể tham khảo báo cáo nghiên cứu đầy đủ từ ETH Zurich: VMSCAPE Research Paper.