Istraživači sa ETH u Cirihu razvili su ZenHammer napad, varijantu RowHammer klase napada za modifikovanje sadržaja pojedinačnih bitova dinamičke memorije sa slučajnim pristupom (DRAM), prilagođene za upotrebu na platformama sa AMD procesorima. Raniji RowHammer napadi bili su ograničeni na sisteme zasnovane na Intel procesorima, ali istraživanje je pokazalo da se oštećenje memorije može postići i na platformama sa AMD memorijskim kontrolerima.
Metoda je demonstrirana na AMD Zen 2 i Zen 3 sistemima sa DDR4 memorijom tri vodeća proizvođača (Samsung, Micron i SK Hynix). Napad uspješno zaobilazi TRR (Target Row Refresh) mehanizam implementiran u memorijske čipove, koji ima za cilj zaštitu od oštećenja memorijskih ćelija u susjednim redovima. Prema istraživačima, sistemi bazirani na AMD Zen 3 CPU-ima su ranjiviji od sistema sa Intel Coffee Lake procesorima, te ih je lakše i efikasnije napasti. Na AMD Zen 2 sistemima, izobličenje ćelija je postignuto za 7 od 10 testiranih DDR4 čipova, a na Zen 3 sistemima za 6 od 10. Istraživači su analizirali i mogućnost napada na AMD Zen 4 sisteme sa DDR5 memorijom, ali napad Metoda razvijena za DDR4 uspješno je reprodukovana na samo 1 od 10 testiranih DDR5 memorijskih čipova, dok mogućnost samog napada nije isključena, ali zahtijeva razvoj efikasnijih obrazaca čitanja primjerenih za DDR5 uređaje.
Za rad sa AMD čipovima, bili su u mogućnosti da prilagode prethodno razvijene eksploatacije koje mijenjaju sadržaj unosa u tablici memorijskih stranica (PTE, unos u tablicu stranica) da dobiju privilegije kernela, zaobiđu provjere lozinke/ovlasti modificiranjem memorije sudo procesa , i oštetiti RSA-2048 javni ključ pohranjen u memoriji u OpenSSH-u kako bi ponovo kreirao privatni ključ. Napad memorijske stranice je reprodukovan na 7 od 10 testiranih DDR4 čipova, napad RSA ključem na 6 čipova i sudo napad na 4 čipa, sa vremenom napada od 164, 267 i 209 sekundi, respektivno.
Metoda se takođe može koristiti za napad na sistem preko pretraživača, za unošenje promena sa virtuelnih mašina ili za pokretanje napada preko mreže. Izvorni kod DARE alata za obrnuti inženjering rasporeda adresa u DRAM memoriji je postavljen na GitHub pod MIT licencom, kao i dva seta uslužnih programa za fuzzing testiranje oštećenja bitova u memoriji - ddr4_zen2_zen3_pub za DDR4 čipove (Zen 2 i Zen 3) i ddr5_zen4_pub za DDR5 čipove (Zen 4), koji se mogu koristiti za testiranje njihovih sistema na podložnost napadima.
RowHammer metoda se koristi za izobličenje bitova, koja se zasniva na činjenici da u DRAM memoriji, koja je dvodimenzionalni niz ćelija koji se sastoji od kondenzatora i tranzistora, obavljanje kontinuiranog čitanja istog memorijskog područja dovodi do fluktuacija napona i anomalije koje uzrokuju mali gubitak naboja susjednih ćelija. Ako je intenzitet čitanja visok, tada susjedna ćelija može izgubiti dovoljno veliku količinu naboja i sljedeći ciklus regeneracije neće imati vremena da vrati svoje prvobitno stanje, što će dovesti do promjene vrijednosti podataka pohranjenih u ćeliji . Istraživač je identifikovao karakteristike mapiranja fizičke memorije i sinhronizacije sa mehanizmima ažuriranja memorije koji se koriste u AMD procesorima, što je omogućilo ponovno kreiranje DRAM adresiranja niskog nivoa, određivanje adresa susednih ćelija, razvoj metoda za zaobilaženje keširanja i izračunavanje obrazaca i frekvencije. operacija koje dovode do gubitka punjenja.
Da bi se zaštitili od RowHammera, proizvođači čipova koriste TRR (Target Row Refresh) mehanizam, koji blokira oštećenje ćelije u posebnim slučajevima, ali ne štiti od svih mogućih opcija napada. Najefikasniji način zaštite ostaje korištenje memorije s kodovima za ispravljanje grešaka (ECC), koji značajno komplikuju, ali ne i potpuno eliminišu RowHammer napade. Povećanje učestalosti regeneracije memorije također može smanjiti vjerovatnoću uspješnog napada.
AMD je objavio izvještaj o problemu u kojem se navodi da AMD procesori koriste memorijske kontrolere koji su usklađeni sa DDR specifikacijama, a kako uspjeh napada prvenstveno ovisi o sistemskim postavkama i DRAM memoriji, pitanja o rješavanju problema treba uputiti proizvođačima memorije. i sistemi Postojeći načini da se napadi klase Rowhammer otežaju uključuju korištenje ECC memorije, povećanje učestalosti regeneracije memorije, onemogućavanje načina odgođene regeneracije i korištenje procesora s kontrolerima koji podržavaju MAC (Maksimalni broj aktiviranja) način rada za DDR4 (1., 2. i 3.) generacija AMD EPYC "Naple", "Rim" i "Milan") i RFM (Refresh Management) za DDR5 (4. generacija AMD EPYC).
izvor: opennet.ru