科幻小说梦想成真：ETH研究人员演示对CPU的“盗梦空间”攻击。苏黎世联邦理工学院的研究人员揭示了类似于在CPU中植入想法的“Inception”攻击。攻击者操纵CPU的预测算法来执行特定命令并访问敏感数据。该漏洞影响AMD的CPU，绕过安全措施并损害数据完整性。研究人员提前通知AMD，以便开发补丁来减轻威胁。这一发现引发了人们对更广泛的CPU漏洞以及对云计算的潜在影响的担忧。

苏黎世联邦理工学院Kaveh Razavi教授领导的研究团队成功演示了一种新颖的网络安全漏洞，该漏洞允许攻击者在计算机的中央处理中植入想法，这一进展让人想起电影《盗梦空间》中令人费解的情节。单元（CPU）。

这一启示已在USENIX Security 2023会议上公布，对数据安全和云计算具有深远的影响。

这一发现表明，某些CPU可以被操纵来执行特定命令，从而有效绕过安全措施并检索敏感信息。这种新颖的攻击被恰当地命名为“Inception”攻击，它围绕着CPU在程序执行过程中进行猜测的固有需求。

现代CPU的运行速度惊人，在程序执行期间每秒做出数亿个决策。然而，从计算机内存(DRAM)到CPU的数据传输速度一直难以跟上这种加速的步伐。为了减轻这些延迟，CPU依靠预测算法根据历史数据预测最有可能的后续步骤，从而显着缩短处理时间。

这种对预测的依赖造成了攻击者可以利用的漏洞。与2018年的Spectre攻击类似，攻击者利用错误预测进行未经授权的访问，Inception攻击涉及操纵CPU的查找表，该表存储过去的指令和预测。

在分享的这项开创性研究中，由Razavi教授领导的苏黎世联邦理工学院团队深入研究了AMD制造的CPU中的漏洞。通过利用CPU将错误指令视为熟悉的倾向，研究人员成功地在CPU的预测过程中将一个想法植入到CPU的内存中。

因此，旨在验证预测准确性的保护性安全功能被绕过，使研究人员能够访问敏感数据，包括散列根密码。

Razavi教授的团队于2月份向AMD发出了有关该漏洞的警报，为该公司提供了在研究公开之前开发补丁的时间。该漏洞已分配代码CVE-2023-20569。

Inception攻击的发现构成了重大威胁，特别是在云计算领域，多个客户共享相同的硬件基础设施。由于各种虚拟环境中的数据完整性可能受到损害，云提供商和硬件制造商将需要重新考虑其安全协议。

Razavi教授的研究还提出了有关CPU漏洞的更广泛领域的问题。虽然这种特定攻击针对的是AMD CPU，但人们越来越担心其他制造商的CPU也可能受到类似攻击。