Исследователи из ETH Zurich выявили новую уязвимость в механизмах спекулятивного выполнения команд, основанную на давно известной проблеме Spectre. Эксплойт получил название VMSCAPE (CVE-2025-40300) и затрагивает процессоры AMD Zen всех поколений и Intel Coffee Lake.

Главная опасность заключается в том, что атака позволяет нарушать границы виртуализации: злоумышленник, находясь в облачной виртуальной машине, может получить доступ к данным гипервизора без изменения настроек системы.

Как работает VMSCAPE

Ключевым элементом атаки стала техника vBTI (virtualization Branch Target Injection), связанная с работой буфера предсказания ветвлений (BTB). В процессорах AMD Zen и Intel Coffee Lake этот буфер не разграничивает операции хоста и гостевых систем, что позволяет утечку информации между ними.

В эксперименте на системе с AMD Zen 4 утечка из процесса QEMU достигла скорости 32 бита/с. Этого достаточно, чтобы за ~13 минут (772 секунды) извлечь ключ шифрования диска.

Подверженные процессоры

• Все поколения AMD Zen (Zen 1–Zen 5).

• Линейка Intel Coffee Lake (2017 год).

• Новые процессоры вроде Intel Lunar Lake и Granite Rapids не уязвимы, однако защитный механизм Linux будет применяться и к ним.

Возможные последствия

• Компрометация гипервизора KVM и его клиентской части QEMU.

• Доступ к конфиденциальным данным из виртуальной машины.

• Угроза для облачных сервисов и корпоративных инфраструктур.

Методы защиты

Проблема не устраняется на аппаратном уровне и решается только программными средствами.

Учёные ETH Zurich предложили защитный механизм IBPB-on-VMExit, позднее оптимизированный в Linux и переименованный в «IBPB before exit to userspace». Его суть в том, чтобы очищать предсказания ветвлений при выходе из виртуальной среды в основное пространство.

Однако цена защиты — снижение производительности:

• до 10 % при использовании эмулируемых устройств;

• около 1 % на процессорах AMD Zen 4;

• минимальная просадка при работе с виртуализированными устройствами.

Позиция производителей

• AMD признала уязвимость и подтвердила, что исправления будут только на программном уровне.

• Intel заявила, что существующие механизмы защиты (BTI, BHI, ITS) можно адаптировать для устранения угрозы, а разработчики Linux уже готовят соответствующие патчи.

Итог

VMSCAPE — первая уязвимость класса Spectre, позволяющая напрямую атаковать гипервизор и извлекать данные из облачных виртуальных машин. Хотя патч уже готовится, его применение приведёт к заметным издержкам производительности, особенно в инфраструктурах с высокой интенсивностью виртуализации.