Beberapa data sangat sensitif sehingga hanya diproses di area cloud yang dilindungi secara khusus. Ini dirancang untuk memastikan bahwa bahkan penyedia cloud pun tidak dapat mengakses data. para peneliti kini telah menemukan kerentanan yang memungkinkan peretas menerobos lingkungan rahasia ini.
Layanan cloud sangat diminati saat ini, menawarkan pengguna kemampuan untuk menyimpan data di server jarak jauh dan mengaksesnya dari mana saja. Mereka digunakan dalam berbagai konteks: individu menyimpan file pribadi seperti foto liburan, sementara bisnis mengandalkan cloud untuk data dan operasi sensitif.
Untuk data yang sangat rahasia – seperti data dari sektor kesehatan atau keuangan – penyedia cloud menawarkan lingkungan yang aman secara khusus. Lingkungan komputasi ini dirancang sedemikian rupa sehingga baik penyedia cloud maupun sistem operasi host tidak dapat mengakses data. Hasilnya, informasi sensitif tetap terlindungi dari akses tidak sah, bahkan saat sedang diproses.
Oleh karena itu, lingkungan ini cocok untuk menyimpan data sensitif dan memprosesnya dengan aman. Mereka memainkan peran penting, misalnya, dalam aplikasi kecerdasan buatan (AI) yang menganalisis konten pribadi – seperti layanan pesan yang secara otomatis menghasilkan ringkasan pesan dengan memprosesnya di cloud.
Para ahli menyebut area cloud yang diamankan secara khusus ini sebagai lingkungan komputasi rahasia. Lingkungan ini menggunakan teknologi untuk memastikan bahwa data sensitif tetap terenkripsi dan terlindungi dari akses tidak hanya selama penyimpanan atau transmisi, namun juga selama pemrosesan di cloud.
Perlindungan ini sangat penting: jika peretas dapat mengeksploitasi kerentanan untuk mengakses pesan yang dikirim ke layanan pesan berbasis cloud untuk ringkasan yang didukung AI, mereka juga akan dapat membaca semua informasi pribadi yang terkandung dalam pesan tersebut seolah-olah itu adalah sebuah buku terbuka.
Masalah perangkat keras dengan konsekuensi yang luas
Namun, para peneliti dari Secure & Trustworthy Systems Group di ETH Zurich, yang dipimpin oleh Profesor Ilmu Komputer Shweta Shinde, baru-baru ini menemukan kerentanan yang memungkinkan penyerang melewati mekanisme perlindungan lingkungan komputasi rahasia. Hal ini akan memungkinkan mereka mengakses area data yang aman dan berpotensi membaca atau mencuri informasi rahasia.
Kerentanan ini diberi nama RMPocalypse. “RMPocalypse adalah masalah perangkat keras yang dapat diidentifikasi dengan jelas dan dapat dieksploitasi menggunakan metode serangan langsung dan dapat menimbulkan dampak serius,” jelas Shweta Shinde. Pada Common Vulnerability Scoring System (CVSS) – skala dari 1 hingga 10 yang digunakan untuk menilai tingkat keparahan kerentanan keamanan TI – skor RMPocalypse 6,0.
Kerentanan mempengaruhi teknologi keamanan AMD
Oleh karena itu, kerentanan ini relevan tetapi tidak memengaruhi semua layanan cloud. Aplikasi Office seperti Word atau Excel misalnya tetap tidak terpengaruh. Kerentanan ini sangat penting karena memengaruhi area cloud yang secara khusus diamankan untuk menangani data rahasia – dan tempat serangan dapat menyebabkan kerusakan yang luas.
Kerentanan keamanan yang ditemukan tidak mempengaruhi semua aplikasi cloud, namun khususnya area dan beban kerja yang dilindungi oleh teknologi keamanan khusus dari AMD. Perusahaan AS Advanced Micro Devices (AMD) antara lain mengembangkan prosesor, chip grafis, dan solusi keamanan untuk pusat data.
Teknologinya sering digunakan dalam lingkungan komputasi rahasia penyedia cloud besar seperti Microsoft Azure, Google Cloud, dan Amazon Web Services. Penggunaannya yang luas meningkatkan pentingnya RMPocalypse karena kerentanannya dapat merusak kepercayaan terhadap keamanan layanan cloud.
Hati-hati: setiap serangan adalah sebuah pukulan
Dalam sebuah publikasi, para peneliti menunjukkan bahwa mereka mampu secara teratur melewati mekanisme perlindungan lingkungan komputasi rahasia melalui kerentanan. Mereka berhasil mendapatkan akses ke seluruh beban kerja yang diuji dengan tingkat keberhasilan 100 persen. Artinya, dalam setiap kasus, mereka mampu menembus area data yang diamankan oleh teknologi AMD.
RMPocalypse mengeksploitasi kerentanan dalam manajemen memori prosesor modern – khususnya, di Reverse Map Table (RMP). Mekanisme ini dimaksudkan untuk memastikan bahwa hanya program resmi yang dapat menggunakan data rahasia. Namun, jika ada kelemahan, perlindungannya menjadi tidak lengkap dan berpotensi memungkinkan penyerang mengakses informasi sensitif.
Teknologi yang digunakan AMD untuk melindungi data yang sangat rahasia di cloud disebut SEV-SNP – kependekan dari Secure Encrypted Virtualization with Secure Nested Paging. Ini membentuk landasan teknis lingkungan komputasi rahasia, memastikan bahwa informasi sensitif tetap terlindungi bahkan ketika sedang diproses.
SEV-SNP secara otomatis melindungi data – selama penyimpanan, transmisi, dan pemrosesan – dan memastikan bahwa penyedia cloud pun tidak dapat mengaksesnya. Teknologi ini memberikan perlindungan yang kuat untuk mesin virtual (VM), yang berfungsi sebagai ruang kerja digital di cloud, melindunginya dari akses tidak sah.
Kerentanan muncul saat start-up
Para peneliti menemukan bahwa bagian dari mekanisme keamanan – yang disebut Reverse Map Table (RMP) – tidak sepenuhnya terlindungi ketika mesin virtual dimulai. Kesenjangan ini memungkinkan penyerang dengan akses jarak jauh untuk melewati fungsi perlindungan tertentu dan memanipulasi lingkungan mesin virtual, yang dimaksudkan untuk diisolasi dengan aman.
Dalam publikasi mereka, para peneliti menunjukkan bahwa kerentanan ini dapat dieksploitasi untuk mengaktifkan fungsi tersembunyi (seperti mode debug), mensimulasikan pemeriksaan keamanan (yang disebut pemalsuan pengesahan) dan memulihkan keadaan sebelumnya (serangan ulangan) – dan bahkan untuk memasukkan kode asing.
Pada akhirnya, para peneliti mampu menunjukkan bahwa mekanisme keamanan AMD hampir dapat dielakkan sepenuhnya – termasuk akses ke kode dan semua data yang dilindungi. Dengan menganalisis dan mendokumentasikan serangan tersebut secara teoritis, mereka membantu mengidentifikasi dan memperbaiki kerentanan sebelum pihak ketiga benar-benar dapat mengeksploitasinya.
Kontribusi terhadap kedaulatan digital
Sebagaimana praktik standar dalam kasus-kasus tersebut, para peneliti segera memberi tahu AMD tentang penemuan mereka. Pengungkapan awal ini memungkinkan perusahaan untuk memperbaiki kerentanan dan menerapkan langkah-langkah keamanan yang diperlukan untuk prosesor yang terkena dampak.
Komputasi rahasia juga memainkan peran penting dalam kedaulatan data, karena memungkinkan data dilindungi selama pemrosesan. Inilah sebabnya mengapa Pusat Keamanan Siber Nasional Swiss (NCSC) menganggap teknologi ini penting: teknologi ini membantu secara teknis menerapkan peningkatan persyaratan keamanan untuk data digital di Swiss.
Referensi
Schlüter B., Shinde, S. RMPocalypse: Bagaimana Catch-22 Mematahkan AMD SEV-SNP. Dalam: Prosiding Konferensi ACM SIGSAC 2025 tentang Keamanan Komputer dan Komunikasi (CCS '25), 13-17 Oktober 2025, Taipei, Taiwan. ACM, New York, NY, AS. halaman eksternal : https://doi.org/10.1145/3719027.3765233 (URL belum aktif).
Makalah penelitian juga tersedia di tautan ini.
