Spectre fue solo el comienzo: VMScape pone en jaque la piedra angular de los servicios en la nube — su aislamiento
Las barreras de protección entre distintos usuarios resultaron ser meramente cosméticas e inútiles.
Investigadores de la ETH de Zúrich presentaron el ataque VMScape, que por su naturaleza recuerda a Spectre y amenaza la infraestructura de virtualización. Permite que una máquina virtual maliciosa lea claves criptográficas del proceso del hipervisor QEMU, que se ejecuta sin modificaciones en procesadores modernos de AMD e Intel.
El principal peligro radica en que la técnica para eludir el aislamiento entre el sistema invitado y el anfitrión funciona incluso con las protecciones estándar contra Spectre activadas y sin comprometer el anfitrión. Teóricamente, basta con que un atacante alquile una máquina virtual a un proveedor de la nube para comenzar a filtrar secretos del hipervisor o de entornos invitados vecinos.
La vulnerabilidad recibió el identificador CVE-2025-40300 y afecta a todas las generaciones AMD Zen desde la primera hasta la quinta, así como a los procesadores Intel de la generación Coffee Lake. Arquitecturas más recientes como Raptor Cove y Gracemont no se ven afectadas por este problema. El informe indica que la vulnerabilidad está relacionada con el aislamiento incompleto de las unidades de predicción de saltos. Debido a ello, un usuario del sistema invitado puede influir en la predicción de saltos en el proceso del hipervisor a través de estructuras compartidas, como el búfer de destino de saltos, el predictor de saltos indirectos y el búfer de historial de saltos.
La técnica de ataque se basa en el método Spectre-BTI (Branch Target Injection). Los investigadores demostraron la posibilidad de engañar una bifurcación en QEMU y forzar su ejecución especulativa de un gadget especial que vuelca datos secretos en un búfer compartido, accesible para lectura mediante el canal lateral FLUSH+RELOAD.
Para prolongar la ventana de ejecución especulativa, la máquina virtual atacante crea conjuntos de expulsión del caché de último nivel en procesadores AMD Zen 4, y para sortear ASLR se utilizan búsquedas de colisiones de saltos y el ajuste de la dirección virtual del búfer de recarga. Como resultado, los investigadores lograron una tasa de filtración de 32 bytes por segundo con una precisión del 98,7%. Esto permite extraer, por ejemplo, una clave de cifrado de disco de 4 KB en solo 128 segundos, y si se incluye eludir ASLR, en aproximadamente 13 minutos.
El trabajo subraya que las consecuencias para los servicios en la nube pueden ser serias: la virtualización es la base de los entornos multiusuario, y la posibilidad de que una máquina invitada lea la memoria del hipervisor amenaza la confidencialidad de los demás clientes. No obstante, el propio ataque requiere conocimientos técnicos profundos, estabilidad y tiempo, por lo que los riesgos para usuarios masivos son reducidos.
El aviso sobre la vulnerabilidad se envió a AMD e Intel el 7 de junio de 2025. AMD publicó un boletín de seguridad, y los desarrolladores del núcleo Linux añadieron un mecanismo de mitigación: al pasar del invitado al anfitrión ahora se ejecuta la barrera IBPB (barrera de predicción de saltos indirectos), que limpia las unidades de predicción de saltos. Según los investigadores, esta solución casi no afecta al rendimiento en cargas habituales.
¿Estás cansado de que Internet sepa todo sobre ti?