ETH-Forschende entdecken Sicherheitslücke in vertraulichen Cloud-Bereichen

fTeilen

Für besonders sensible Daten bieten Clouds speziell abgesicherte
«vertrauliche Rechenumgebungen» – im Englischen als Confidential Computing
bezeichnet.
ETH-Informatiker:innen haben jedoch eine Schwachstelle entdeckt, die
gezielt die Sicherheitstechnologie von AMD für solche vertraulichen
Umgebungen betrifft.

Diese Sicherheitslücke betrifft nicht nur die geschützte Speicherung von
Daten, sondern auch deren sichere Verarbeitung in der Cloud – etwa bei KI-
Anwendungen.

Cloud-Dienste sind heute stark gefragt. Sie ermöglichen es, Daten auf
entfernten Servern zu speichern, sodass die Nutzer:innen von überall auf
sie zugreifen können. Entsprechend vielseitig werden sie genutzt. Sowohl
Einzelpersonen als auch Unternehmen speichern ihre Daten in der Cloud –
von Urlaubsfotos bis zu sensiblen Geschäftsdaten.

Für sehr vertrauliche Daten – etwa aus dem Gesundheitswesen oder der
Finanzbranche – bieten Cloud-Dienste spezielle Bereiche, die streng
gesichert sind. Diese Rechenumgebungen sind so entworfen, dass weder die
Anbieter noch das Host-Betriebssystem Zugriff auf die Daten haben. Dadurch
bleiben sensible Daten auch während der Nutzung vor fremdem Zugriff
geschützt.

Daher eignen sich diese Umgebungen sowohl dazu, sensible Daten zu
speichern, als auch um sie sicher zu verarbeiten. Eine wichtige Rolle
spielen sie beispielsweise bei KI-Anwendungen, die persönliche Inhalte
analysieren – etwa bei Messenger-Diensten, die automatisch
Zusammenfassungen von Nachrichten erstellen, indem sie diese in einer
Cloud verarbeiten.

Fachpersonen bezeichnen diese speziell gesicherten Cloud-Bereiche als
«vertrauliche Rechenumgebungen» (engl. confidential computing). Diese
Umgebungen stellen technisch sicher, dass sensible Daten nicht nur beim
Speichern oder Übertragen, sondern auch während der Verarbeitung in der
Cloud verschlüsselt und vor Zugriffen geschützt bleiben.

Dieser Schutz ist wichtig: Könnten Hacker:innen durch eine Schwachstelle
auf die Nachrichten eines Messenger-Dienstes zugreifen, die in die Cloud
gesendet werden, damit eine KI sie automatisch zusammenfasst, könnten sie
auch alle darin enthaltenen privaten Informationen lesen wie ein offenes
Buch.

Hardwareproblem mit weitreichenden Folgen

Doch nun haben ETH-Forschende aus der Gruppe für sichere und
vertrauenswürdige Systeme von Informatikprofessorin Shweta Shinde vor
Kurzem tatsächlich eine Schwachstelle entdeckt, die Hacker:innen ausnützen
könnten, um die Schutzmechanismen für vertrauliche Rechenumgebungen zu
umgehen. Dadurch könnten sie auf die gesicherten Datenbereiche zugreifen
und vertrauliche Daten einsehen oder entwenden.

RMPocalypse heisst diese Schwachstelle. «RMPocalypse ist ein klar
identifizierbares Hardwareproblem, das sich mit relativ einfachen
Angriffsmethoden ausnutzen lässt und ernsthafte Folgen haben kann»,
erklärt Shweta Shinde. Auf dem CVSS-Score – einer Skala von 1 bis 10 zur
Bewertung von IT-Sicherheitslücken – erreicht RMPocalypse einen Wert von
6.0.

Schwachstelle betrifft AMD-Sicherheitstechnologie

Die Lücke ist somit relevant, betrifft jedoch nicht alle Cloud-Dienste.
Büroanwendungen wie Word oder Excel bleiben davon unberührt. Kritisch ist
die Schwachstelle, weil sie diejenigen Cloud-Bereiche betrifft, die
speziell für den Umgang mit vertraulichen Daten abgesichert sind – und in
denen ein Angriff weitreichenden Schaden erzielen kann.

Die entdeckte Sicherheitslücke betrifft auch nicht alle Cloud-Anwendungen,
sondern gezielt jene Bereiche und Workloads, die mit einer speziellen
Sicherheitstechnologie von AMD geschützt sind. Das US-amerikanische
Unternehmen Advanced Micro Devices (AMD) entwickelt unter anderem
Prozessoren, Grafikchips und Sicherheitslösungen für Rechenzentren.

Ihre Technologie kommt bei den vertraulichen Rechenumgebungen grosser
Cloud-Anbieter wie Microsoft Azure, Google Cloud oder Amazon Web Services
häufig zum Einsatz. Ihre weite Verbreitung erhöht die Tragweite von
RMPocalypse, weil die Schwachstelle das Vertrauen in die Sicherheit von
Clouds untergraben kann.

Aufgepasst: Jeder Angriff ein Treffer

In einer Publikation zeigen die ETH-Forschenden, dass sie die
Schutzmechanismen vertraulicher Rechenumgebungen über die Schwachstelle
regelmässig umgehen konnten. Für alle getesteten Workloads gelang ihnen
der Zugriff mit einer Erfolgsquote von 100 Prozent. Das heisst: In jedem
Fall konnten sie in die Datenbereiche eindringen, die durch AMD-
Technologie gesichert sind.

RMPocalypse nutzt eine Schwachstelle in der Speicherverwaltung moderner
Prozessoren aus – nämlich das sogenannte Reverse Map Table (RMP). Dieser
Mechanismus stellt sicher, dass nur berechtigte Programme die
vertraulichen Daten verwenden können. Ist er fehlerhaft, wird der Schutz
lückenhaft – und Hacker:innen könnten auf sensible Informationen
zugreifen.

Die entsprechende Technologie, mit der AMD besonders vertrauliche Daten in
der Cloud schützt, heisst SEV-SNP, kurz für Secure Encrypted
Virtualization – Secure Nested Paging. Sie bildet die technische Grundlage
für vertrauliche Rechenumgebungen, in denen sensible Informationen auch
während der Verarbeitung sicher bleiben.

SEV-SNP schützt die Daten automatisch – beim Speichern, Übertragen und
Verarbeiten – und sorgt dafür, dass sie selbst für Cloud-Anbieter nicht
einsehbar sind. Die Technologie schützt virtuelle Maschinen, also digitale
Arbeitsbereiche in der Cloud, zuverlässig vor unbefugtem Zugriff.

Lücke öffnet sich beim Start

Die ETH-Forschenden fanden heraus, dass ein Teil der
Sicherheitsmechanismen – die sogenannte Reverse Map Table (RMP) – beim
Start einer virtuellen Maschine nicht vollständig geschützt ist. Dadurch
könnten Angreifer mit Fernzugriff bestimmte Schutzfunktionen umgehen und
die eigentlich abgeschirmte Umgebung der virtuellen Maschine manipulieren.

In ihrer Publikation zeigen die Forschenden, dass sich über diese
Schwachstelle versteckte Funktionen aktivieren (etwa ein Debug-Modus),
Sicherheitsprüfungen vortäuschen (sogenannte Attestation-Fälschungen) und
frühere Zustände wiederherstellen (Replay-Angriffe) lassen – und sich
sogar fremder Code einschleusen lässt.

Letztlich konnten die ETH-Forschenden zeigen, dass sich die
Sicherheitsmechanismen von AMD fast vollständig aushebeln lassen –
inklusive Zugriff auf den Code und alle geschützten Daten. Indem sie den
Angriff theoretisch analysierten und dokumentierten, trugen sie dazu bei,
die Schwachstelle zu identifizieren und zu beheben, bevor sie Dritte
tatsächlich ausnutzen konnten.

Beitrag zur digitalen Souveränität

Wie in solchen Fällen üblich, informierten die ETH-Forschenden AMD
frühzeitig über ihre Entdeckung. Das Unternehmen konnte die Schwachstelle
daraufhin beheben und die nötigen Sicherheitsmassnahmen für die
betroffenen Prozessoren umsetzen.

Confidential Computing spielt auch eine Schlüsselrolle für die
Datensouveränität, da es den Schutz von Daten während der Verarbeitung
ermöglicht. Diese Technologie betrachtet deshalb auch das Schweizer
Nationale Zentrum für Cybersicherheit (NCSC) für wichtig: Sie hilft dabei,
erhöhte Sicherheitsanforderungen für digitale Daten in der Schweiz
technisch umzusetzen.

Wissenschaftliche Ansprechpartner:
Prof. Dr. Shweta Shinde, ETH Zürich, shweta.shinde(at)inf.ethz.ch

Originalpublikation:
Schlüter B., Shinde, S. RMPocalypse: How a Catch-22 Breaks AMD SEV-SNP.
In: Proceedings of the 2025 ACM SIGSAC Conference on Computer and
Communications Security (CCS ’25), October 13–17, 2025, Taipei, Taiwan.
ACM, New York, NY, USA. DOI: https://doi.org/10.1145/3719027.3765233