Pesquisadores da ETH Zurich revelaram uma falha grave no AMD Infinity Fabric, a interconexão que liga os chiplets dentro dos processadores EPYC, capaz de quebrar a proteção do recurso de computação confidencial usado por provedores de nuvem.
O ataque foi batizado de Fabricked, recebeu o identificador CVE-2025-54510 e expõe ao hospedeiro malicioso a memória de máquinas virtuais que deveriam estar isoladas por hardware.
A pesquisa será apresentada na conferência USENIX Security 2026 e descreve um exploit puramente em software, com taxa de sucesso de 100% e sem necessidade de acesso físico ao servidor. Nenhum código precisa ser executado dentro da máquina virtual da vítima, o que torna o ataque praticamente invisível para o cliente do serviço de nuvem.
A AMD reconheceu o problema após divulgação responsável feita pelos pesquisadores em agosto de 2025 e publicou o boletim AMD-SB-3034 quando o embargo foi suspenso, em abril de 2026. Patches de firmware foram liberados para as arquiteturas Zen 3, Zen 4 e Zen 5.
Como funciona o ataque Fabricked
O alvo é o AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging), tecnologia que cria as chamadas Confidential Virtual Machines. Nessas máquinas, a memória é criptografada e controlada por um processador de segurança dedicado dentro da CPU, o PSP (Platform Security Processor). A ideia é permitir que clientes corporativos rodem cargas sensíveis em nuvem sem precisar confiar plenamente no provedor.
O esquema depende de uma estrutura chamada Reverse Map Table, que registra quais páginas de memória pertencem a quais máquinas. O PSP inicializa essa tabela durante o boot, e o sistema só se considera seguro depois desse passo.
O ataque explora o fato de que partes do Infinity Fabric precisam ser configuradas a cada inicialização pelo firmware UEFI da placa-mãe. No modelo de ameaças oficial da própria AMD, esse firmware é considerado não confiável, justamente porque está sob controle do provedor de nuvem.
Os pesquisadores descobriram que duas chamadas de API ao PSP, responsáveis por travar os registradores de configuração do Infinity Fabric depois da inicialização, podem ser simplesmente omitidas por uma UEFI maliciosa.
Sem esse travamento, o Data Fabric, camada de roteamento de memória dentro do Infinity Fabric, continua editável mesmo depois que o SEV-SNP entra em ação.
A segunda peça do quebra-cabeça
Uma falha mais sutil completa o exploit. Requisições de memória feitas pelo PSP são verificadas primeiro contra regras de roteamento de MMIO, normalmente reservadas para comunicação com dispositivos de hardware, antes da verificação contra o roteamento de DRAM convencional.
Configurando os mapeamentos de MMIO para sobrepor a região de memória da Reverse Map Table, o invasor faz com que as escritas de inicialização do PSP sejam descartadas em silêncio.
A tabela nunca chega a ser configurada de verdade, mas o SEV-SNP reporta a inicialização como bem-sucedida. O hospedeiro, então, ganha leitura e escrita arbitrárias sobre a memória da máquina virtual confidencial.
“Ao redirecionar transações de memória, um hipervisor malicioso consegue enganar o coprocessador seguro (PSP), fazendo com que ele inicialize o SEV-SNP de forma incorreta.”
A demonstração feita pelos pesquisadores foi conduzida em uma placa-mãe BERGAMOD8-2L2T com processador EPYC baseado em Zen 5.
O que o atacante consegue na prática
A equipe da ETH Zurich mostrou dois cenários completos de exploração:
- No primeiro, é possível ativar o modo de depuração em uma máquina confidencial de produção depois da etapa de atestado, o que permite ao hipervisor descriptografar qualquer trecho de memória da VM sem que o sistema convidado perceba.
- No segundo, o ataque forja relatórios de atestação. O atestado é o mecanismo criptográfico pelo qual o cliente verifica se o ambiente é genuíno. Com a falha, uma imagem maliciosa pode passar por uma máquina confiável aos olhos do cliente, derrubando toda a corrente de confiança que sustenta o produto.
Quais chips estão afetados
A confirmação técnica foi feita em processadores EPYC baseados em Zen 5, geração mais recente da linha de servidores da AMD. O boletim oficial, no entanto, lista atualizações de firmware também para Zen 3 e Zen 4, o que indica que o problema atinge três gerações da arquitetura.
| Arquitetura | Afetada | Patch disponível |
|---|---|---|
| Zen 3 (EPYC 7003) | Sim | Sim |
| Zen 4 (EPYC 9004) | Sim | Sim |
| Zen 5 (EPYC 9005) | Sim, demonstrado | Sim |
Usuários domésticos e cargas comuns em nuvem que não dependem de SEV-SNP não correm risco. A vulnerabilidade exige que o atacante controle o hipervisor e a UEFI da máquina hospedeira, condição que praticamente só faz sentido no contexto de um provedor de nuvem agindo de má-fé ou comprometido por um invasor externo.
Tecnologias concorrentes não são impactadas pelo mesmo caminho de ataque. O Intel TDX e o ARM CCA, equivalentes da Intel e da ARM no mercado de confidential computing, ficam de fora do escopo do Fabricked.
Recomendação para clientes corporativos
Empresas que rodam cargas sensíveis em instâncias confidenciais baseadas em EPYC devem confirmar junto ao provedor se o firmware atualizado já foi aplicado em toda a frota de servidores. Os patches da AMD cobrem Zen 3, Zen 4 e Zen 5, mas a aplicação efetiva depende do Data Center.
O código de prova de conceito foi publicado pelos pesquisadores no GitHub e exige acesso de raiz dentro do hipervisor para ser executado. A publicação tem fins acadêmicos e está vinculada ao artigo aceito no USENIX Security 2026.
A Fabricked entra em uma lista crescente de ataques que miram justamente os mecanismos de hardware criados para tornar a nuvem confiável.
Ataques anteriores como BadRAM, CacheWarp e os trabalhos sobre TDX da própria ETH mostram que o modelo de confidential computing ainda está em maturação, mesmo nas implementações mais recentes.
Leia também:
- Mesmo reformulado, Windows Recall ainda é grande risco à segurança
- AMD lucra com queda em vendas de smartphones
- Gigabyte anuncia AORUS ARI B850, a segunda placa em sua linha de meninas de anime
Risco residual e próximos passos
Os autores reforçam que o Infinity Fabric é hoje uma superfície de ataque pouco estudada e que abrir mais documentação sobre ele tende a beneficiar a segurança no longo prazo. O fato de a Intel manter seus mecanismos equivalentes fechados, segundo o paper, dificultou inclusive a análise comparativa entre as duas plataformas.
A correção via firmware fecha o vetor específico explorado pelo Fabricked, mas não muda o fato de o roteamento de memória dentro do chip ser uma região sensível. Servidores EPYC sem o patch aplicado seguem expostos, especialmente em ambientes onde o atacante consiga obter controle sobre a UEFI ou sobre o hipervisor por outras vias.
A AMD ainda não comentou publicamente o impacto comercial do bug em provedores parceiros. Microsoft Azure, Google Cloud e AWS oferecem instâncias com SEV-SNP ativo em seus catálogos, e cada um deles tem cronograma próprio para implantar atualizações no nível de plataforma.
Fonte(s): GitHub, Fabricked Attack (ETH Zurich) e AMD Security Bulletin AMD-SB-3034
