在黑客界，有一句古话：“一旦攻击者获得了设备的物理访问权限，安全就无从谈起。” 这条规则看起来似乎理所当然，无论手机、电脑或其他机器如何被锁定，如果有人有意对其进行攻击并获得实际操作的能力，成功的几率几乎可以肯定。然而，在云计算时代，这个普遍接受的原则不再适用。有些世界上最敏感的信息，例如健康记录、财务账户信息以及封存的法律文件，常常存储在服务器上，而这些服务器日常维护的管理员却可能是那些公司所不知的陌生人，他们可能远在千里之外。为了应对此类挑战，芯片制造商们开始在其硅片中植入保护机制，以确保即便服务器被物理篡改或感染了恶意软件，传输通过虚拟机的数据也无法被未经授权的人员获取，前提是拥有的加密密钥仅为虚拟机管理员所知。在此情况下，云服务提供商内部的管理员、持有法院搜查令的执法机构，以及成功入侵服务器的黑客都将无能为力。

然而，国际研究团队在最近公布的“BadRAM”攻击的概念证明中，彻底动摇了AMD所作的安全承诺。这一攻击不仅改变了游戏规则，还对其某些最昂贵及防护严密的微处理器产品线产生了直接的影响。特别是在AMD Epyc 7003处理器上，名为SEV-SNP（安全加密虚拟化和安全嵌套分页）的特性确保通过加密来认证虚拟机是否受到任何形式的后门威胁。然而，BadRAM的攻击方式能够以极低的成本（大约10美元的硬件或有时仅通过软件就能实现）迫使DDR4或DDR5内存模块在启动过程中错误地报告其内存容量，从而让SEV-SNP在虚拟机严重受到攻击时也不发出任何警告。

研究团队的成员之一在邮件中表示：“BadRAM完全破坏了AMD最新的安全加密虚拟化（SEV-SNP）技术的信任，许多主流云服务提供商（如亚马逊AWS、谷歌云和微软Azure）广泛使用该技术。BadRAM首次研究了坏内存（BadRAM）的安全风险——恶意内存模块故意在启动期间向处理器提供错误的信息。我们展示了BadRAM攻击者如何伪造关键的远程证明报告，并向任何受SEV保护的虚拟机中插入隐蔽的后门。”

BadRAM究竟如何运作呢？在需要提供有关内存状况时，服务器会通过BIOS查询内存模块上的SPD（序列存在检测）芯片，来获取基础的可用内存信息。但BadRAM攻击则通过篡改该芯片，使其报告的内存容量是其实际容量的两倍。攻击者只需在内存模块的SPD芯片上临时连接一台特别编程的树莓派，就可以实现这种修改。研究人员利用该攻击，不仅可以使处理器错误地允许访问加密内存，还可以完全攻陷AMD SEV生态系统，伪造远程证明报告。

在这种情况下，服务器管理员只需轻松配置操作系统以忽略新增的“幽灵内存”，然后通过特定脚本快速找到内存中幽灵位的具体位置。这些隐藏的别名（alias）使攻击者能够访问SEV-SNP本应无权限访问的内存区域，进而读取和写入敏感数据。这种访问权限不仅允许攻击者获取用于证明虚拟机完整性的加密哈希值，还可以启动一个被植入后门的SEV兼容虚拟机。

这场高级别的攻击展现了一种新兴威胁，并引发了广泛的关注和讨论。尽管这项研究的发现可谓前所未见，但AMD已针对这一漏洞迅速推出了补丁。AMD方面的发言人表示，除了启动时可能需要额外时间来完成操作外，补丁已不会带来任何性能损失。当前，该漏洞在业界被标注为CVE-2024-21944和AMD-SB-3015。

随着技术的进步，现代动态随机存取内存（DRAM）变得愈加复杂。这种内存组件通常以DIMM（双列直插式内存模块）的形式出现，而内存模块中的电容器则决定了存储的数据容量。为了存储或访问数据，服务器必须首先明确内存的位置信息，而这是通过地址映射来实现的。进行内存地址转换的工作由内存控制器负责，为确保高效运行，内存地址的物理映射并非一对一，而是将相邻地址分散在不同通道和银行内。

对于内存模块的检测与访问至关重要的是，服务器启动时可能需要了解连接的DIMM数量及其提供的总内存容量。而只要在SPD芯片上进行一次简单的伪造，服务器就能持续使用这一“幽灵内存”欺骗处理器。此后，通过特定的操作系统配置和脚本，攻击者可轻易找到这些幽灵内存并实现读写。

尽管本次研究的发现令人震惊，依旧需要注意的是，攻击实现的前提还是基于对物理硬件的访问，即使通过软件的操作，攻破该机制仍需在特定条件下进行。因此，AMD呼吁用户加强物理系统安全措施，使用锁定了SPD的内存模块，并已推出固件更新以降低此类漏洞的风险。

通过这次事件，我们可以看到即使在当今高度数字化的环境下，安全问题依然存在。随着技术不断发展，越是复杂的系统就越可能暴露出新的脆弱性。因此，保持警惕，并采取适当的防护措施，始终是确保网络安全的最佳策略。通过对这些研究的深入理解，我们能够意识到技术背后的风险，从而在今后的云计算环境中做出更为明智的安全决策。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课