Un equip d'investigadors de la Vrije Universiteit Amsterdam, ETH Zurich i Qualcomm estudi de l'efectivitat de la protecció contra atacs de classe utilitzats en els xips de memòria DDR4 moderns , que us permet canviar el contingut de bits individuals de memòria dinàmica d'accés aleatori (DRAM). Els resultats van ser decebedors i els xips DDR4 dels principals fabricants encara ho són vulnerable ().
La vulnerabilitat RowHammer permet que el contingut dels bits de memòria individuals es corrompi llegint cíclicament dades de les cel·les de memòria adjacents. Com que la memòria DRAM és una matriu de cèl·lules bidimensionals, cadascuna formada per un condensador i un transistor, la realització de lectures contínues de la mateixa regió de memòria provoca fluctuacions de tensió i anomalies que provoquen una petita pèrdua de càrrega a les cèl·lules veïnes. Si la intensitat de lectura és prou alta, la cèl·lula pot perdre una quantitat de càrrega prou gran i el següent cicle de regeneració no tindrà temps de restaurar el seu estat original, cosa que provocarà un canvi en el valor de les dades emmagatzemades a la cel·la. .
Per bloquejar aquest efecte, els xips DDR4 moderns utilitzen la tecnologia TRR (Target Row Refresh), dissenyada per evitar que les cèl·lules es corrompun durant un atac de RowHammer. El problema és que no hi ha un enfocament únic per implementar TRR i cada fabricant de CPU i memòria interpreta TRR a la seva manera, aplica les seves pròpies opcions de protecció i no revela els detalls de la implementació.
L'estudi dels mètodes de bloqueig de RowHammer utilitzats pels fabricants va facilitar la recerca de maneres d'evitar la protecció. Després de la inspecció, va resultar que el principi practicat pels fabricants " (seguretat per l'obscuritat) quan s'implementa TRR només ajuda per a la protecció en casos especials, cobrint atacs típics que manipulen els canvis en la càrrega de les cèl·lules en una o dues files adjacents.
La utilitat desenvolupada pels investigadors permet comprovar la susceptibilitat dels xips a variants multilaterals de l'atac RowHammer, en què s'intenta influir en la càrrega per a diverses files de cel·les de memòria alhora. Aquests atacs poden evitar la protecció TRR implementada per alguns fabricants i conduir a la corrupció de bits de memòria, fins i tot en maquinari nou amb memòria DDR4.
Dels 42 DIMM estudiats, 13 mòduls van resultar ser vulnerables a variants no estàndard de l'atac RowHammer, malgrat la protecció declarada. Els mòduls problemàtics van ser produïts per SK Hynix, Micron i Samsung, els productes dels quals 95% del mercat de DRAM.
A més de DDR4, també es van estudiar els xips LPDDR4 utilitzats en dispositius mòbils, que també van resultar ser sensibles a variants avançades de l'atac RowHammer. En particular, la memòria utilitzada als telèfons intel·ligents Google Pixel, Google Pixel 3, LG G7, OnePlus 7 i Samsung Galaxy S10 es va veure afectada pel problema.
Els investigadors van poder reproduir diverses tècniques d'explotació en xips DDR4 problemàtics. Per exemple, utilitzant RowHammer- per a PTE (Entrades de taula de pàgines) es va trigar de 2.3 segons a tres hores i quinze segons per obtenir el privilegi del nucli, depenent dels xips provats. per danys a la clau pública emmagatzemada a la memòria, RSA-2048 va trigar de 74.6 segons a 39 minuts 28 segons. va trigar 54 minuts i 16 segons a ometre la comprovació de credencials mitjançant la modificació de memòria del procés sudo.
S'ha publicat una utilitat per comprovar els xips de memòria DDR4 utilitzats pels usuaris . Per dur a terme un atac amb èxit, cal informació sobre la disposició de les adreces físiques utilitzades al controlador de memòria en relació amb els bancs i les files de cel·les de memòria. També s'ha desenvolupat una utilitat per determinar el disseny , que requereix executar-se com a root. En un futur proper també publicar una aplicació per provar la memòria del telèfon intel·ligent.
Empreses и Per protegir-se, van aconsellar utilitzar memòria de correcció d'errors (ECC), controladors de memòria amb suport de recompte màxim d'activació (MAC) i utilitzar una freqüència de refresc més gran. Els investigadors creuen que per als xips ja llançats no hi ha solució per a una protecció garantida contra Rowhammer, i l'ús de l'ECC i l'augment de la freqüència de regeneració de la memòria va resultar ineficaç. Per exemple, es va proposar anteriorment atacs a la memòria DRAM sense passar per la protecció ECC i també mostra la possibilitat d'atacar la DRAM , de и executant JavaScript al navegador.
Font: opennet.ru