近日,AMD处理器曝出Stackwarp新漏洞。因其并非传统软件级漏洞,直接涉及到底层硬件的设计缺陷,通过简单的固件升级难以修复,进而对相关设备用户造成严重的安全风险。
值得注意的是,尽管AMD所代表的X86芯片路线在国内应用广泛,但以海光为代表的本土X86产品并未受到该漏洞威胁。业内判断,在芯片国产化自研过程中,部分厂商已从底层完整掌握并消化外部授权技术,并正通过自主创新、独立演进的方式完成信创安全体系重构。
▉ Stackwarp漏洞预警,ZEN架构全系芯片破防
据德国CISPA亥姆霍兹信息安全中心团队披露信息,StackWarp是一种主机侧通过修改特定MSR寄存器、结合单步执行机制,突破AMD SEV-SNP虚拟机完整性保护的漏洞。
该漏洞可允许拥有主机服务器特权控制权的恶意行为者在机密虚拟机内部运行恶意代码,从而破坏AMD安全加密虚拟化及SEV-SNP所提供的完整性保证。研究人员表示,“这使得攻击者能够劫持控制流和数据流,在机密虚拟机内部实现远程代码执行和权限提升。”
其中,SEV旨在加密受保护虚拟机的内存,并将其与底层虚拟机监控程序隔离。不过CISPA的新发现表明,通过攻击一种名为”堆栈引擎”的微架构优化(该优化负责加速堆栈操作),可以在不读取虚拟机明文内存的情况下绕过这一保护机制,实现硬件架构层面的攻击。
显然,这一漏洞将对用户的计算系统安全造成直接威胁。包括AMD Zen 1至Zen 5架构的处理器在内,均受到StackWarp漏洞影响。目前,AMD已给出相关恢复补丁,并建议用户关闭超线程,用CPU核心数减半的方式保障抵御该漏洞风险。
▉ 海光CPU原生免疫,自研虚拟化技术建功
对于高端CPU用户来说,牺牲性能为安全性“补课”显然代价惨重。尤其在国内芯片市场,“安全可控”更加不容妥协。国产X86率先迎来现实拷问。
公开报道显示,目前能够完整对标AMD的产品主要以海光C86系列芯片为主。StackWarp曝出后,海光CPU已实测免疫该项漏洞。其中,海光自主研发的加密虚拟化技术CSV3,与AMD的SEV-SNP表现出明显差异,这意味着该国产CPU并不具备AMD漏洞攻击条件。
具体来看,StackWarp漏洞被用来实现有意义攻击的条件是在虚拟机的特定指令处退出到Host中篡改MSR,而实现这一条件的前提是主机具备更改虚拟机页表从而能够构造虚拟机单步执行的能力。
也就是说,AMD SEV-SNP虚拟机的主机可以更改NPT页表,因此其主机具备虚拟机单步执行能力。而海光CSV3技术能够阻止主机篡改虚拟机的页表,避免SEV-SNP虚拟机存在的单步执行的问题,进而从源头上杜绝了StackWarp漏洞攻击的可能。
▉ 信创安全体系重构,国产替代把稳底层防线
面对国外X86芯片漏洞威胁,海光能够完全规避CPU安全风险,无疑进一步折射出国产化自研投入价值,验证了芯片自主安全体系。这也为信创行业用户吃下一颗“定心丸”。
“信创不仅仅是国产化产品替代,更是一次全方位的安全体系重构。”业内人士指出,国产CPU前期均采用了授权引进模式,然而部分产品虽然性能表现抢眼,但很大程度上仍依赖于外部授。若迟迟无法吃透底层技术,展开实质性自主创新,很有可能在安全体系上留下缺口。
尤其对于数据敏感型用户,安全性考量并不逊于性能指标要求。以CSV3应用表现为例,海光CPU在机密计算/隐私计算市场占比稳居前列,如隐私计算影响力TOP10企业中,包含阿里云在内的90%厂商已采用该项技术,共计推出数十款基于海光CPU的一体机。
从市场反应来看,信创用户显然更愿意为自主安全买单。目前,随着海光CPU从X86到C86的国产化演进,在底层架构上成功扩展出安全算法指令,形成覆盖机密计算、可信计算、密码技术及漏洞防御的多维安全防线,金融、通信、教育等关基行业均已完成C86芯片导入。
事实证明,底层技术安全仍是国产替代工作的关键防线,更是信创用户选型的第一标准。在海外芯片漏洞声声警钟下,国产芯片仍需不断重新审视产品安全底色。
文章转载自微信公众号:鲜枣课堂