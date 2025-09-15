苏黎世联邦理工学院的研究人员在一篇博客文章中宣布 名为 VMScape 的新攻击 （CVE-2025-40300），能够 绕过 Spectre-BTI 保护并危及虚拟化环境中的安全。 此方法允许虚拟机内的进程从在用户空间运行的虚拟机管理程序组件（例如 QEMU-KVM）中提取敏感数据。

令人担忧的事情 是那个 这些组件的内存可能包含关键信息，例如加密磁盘的访问密钥或来自其他客户系统的敏感数据残留。 研究人员利用漏洞证明了攻击的可行性 他设法从 QEMU 中的 virtio 驱动程序泄露加密密钥，在搭载 AMD Zen 32 CPU 的系统上，泄漏率达到每秒 4 字节。

VMScape 的工作原理

VMScape 基于操作 从分支目标缓冲区（BTB），CPU 在推测执行期间用它来预测分支。通过注入精心设计的分支目标，攻击者可以强制错误预测，并利用处理器的缓存来推断敏感信息。

虽然 现代系统已经包括防御措施 针对 Spectre-BTI， 他们没有想到 这俩 虚拟机管理程序组件等来宾进程 在用户空间 共享相同级别的保护这使得 BTB 输入在两者之间产生混淆，从而破坏了预期的隔离。

我们对保护域隔离进行了系统性分析，结果表明，当前机制过于笼统：在所有 AMD Zen CPU（包括最新的 Zen 5）上，分支预测器都无法区分主机和客户机的执行，从而允许原始的跨虚拟化 BTI (vBTI) 攻击行为。虽然最近的英特尔 CPU 提供了更好的隔离，但仍存在一些缺陷。 利用其中一个 vBTI 原语，我们创建了一个名为 VMScape 的全面漏洞利用程序。VMScape 允许恶意 KVM 来宾从 QEMU 等用户空间虚拟机管理程序泄露敏感信息，例如加密/解密密钥。下方展示了 VMScape 在 AMD Zen 4 上运行的演示。

安全成本并不小，因为影响取决于系统将控制权转移到用户空间的频率。 在有模拟设备的环境中 （QEMU 中的默认值）， 性能下降平均可达 10%而在 Virtio 磁盘操作等高强度测试中，性能下降幅度高达 51%。在 UnixBench 等轻负载测试中，影响甚至不到 1%。

受影响的处理器

脆弱性 影响所有 AMD Zen 处理器 （包括第五代）至 Hygon 处理器 已经较旧的英特尔型号，例如基于 Coffee Lake 的型号 (2017)。Cascade Lake 和 Alder Lake 等较新的 CPU 构成部分风险。相比之下，最新一代英特尔处理器采用了 eIBRS 技术，该技术虽然无法完全消除基于分支历史操纵 (vBHI) 的攻击，但可以增强主机-客户机隔离。

攻击的局限性

目前， VMScape 仅在使用 KVM 和 QEMU 的系统上进行了演示 用于用户空间设备仿真。Xen 等虚拟机管理程序不受影响，而 VMware 和 Hyper-V 等其他虚拟机管理程序尚未经过全面评估。

Linux 内核中的缓解措施

为了应对这次攻击， Linux 内核更新已发布 （版本 6.16.7、6.12.47、6.6.106、6.1.152、5.15.193 和 5.10.244）。 解决方案实现了 IBPB 指令的使用 （间接分支预测屏障），每次从虚拟机转换到用户空间后都会清除分支预测器状态。

保护 可以通过内核启动选项启用:

vmscape={关闭|ibpb|强制}

连接器 ibpb 缓解措施仅在易受攻击的 CPU 上启用，而强制则适用于所有架构。漏洞状态和主动保护措施可在以下位置找到：

/sys/设备/系统/CPU/漏洞/vmscape

最后，如果您有兴趣了解更多，可以查阅详情 以下链接。