Usa ka grupo sa mga tigdukiduki gikan sa ETH Zurich, Vrije Universiteit Amsterdam ug Qualcomm nagpatik sa usa ka bag-ong pamaagi sa pag-atake sa RowHammer nga makausab sa sulod sa tagsa-tagsa ka piraso sa dynamic random access memory (DRAM). Ang pag-atake gi-codenamed Blacksmith ug giila nga CVE-2021-42114. Daghang mga DDR4 chips nga adunay proteksyon batok sa nahibal-an kaniadto nga mga pamaagi sa klase sa RowHammer ang dali nga makuha sa problema. Ang mga himan alang sa pagsulay sa imong mga sistema alang sa pagkahuyang gipatik sa GitHub.
Hinumdumi nga ang mga pag-atake sa klase sa RowHammer nagtugot kanimo sa pagtuis sa mga sulud sa indibidwal nga mga tipik sa panumduman pinaagi sa cyclically nga pagbasa sa datos gikan sa kasikbit nga mga selyula sa memorya. Tungod kay ang memorya sa DRAM usa ka duha ka dimensyon nga han-ay sa mga selyula, ang matag usa naglangkob sa usa ka kapasitor ug usa ka transistor, ang paghimo sa padayon nga pagbasa sa parehas nga rehiyon sa panumduman moresulta sa pag-usab-usab sa boltahe ug mga anomaliya nga hinungdan sa gamay nga pagkawala sa bayad sa mga silingan nga mga selyula. Kung ang intensity sa pagbasa taas, nan ang silingan nga cell mahimong mawad-an og igo nga kantidad sa bayad ug ang sunod nga siklo sa pagbag-o wala’y oras aron mapasig-uli ang orihinal nga kahimtang niini, nga mosangput sa pagbag-o sa kantidad sa datos nga gitipig sa cell .
Aron mapanalipdan batok sa RowHammer, gisugyot sa mga tiggama sa chip ang TRR (Target Row Refresh) nga mekanismo, nga nanalipod batok sa korapsyon sa mga selyula sa kasikbit nga mga laray, apan tungod kay ang proteksyon gibase sa prinsipyo sa "seguridad pinaagi sa kangitngit," wala kini makasulbad sa problema sa ang gamut, apan gipanalipdan lamang gikan sa nahibal-an nga mga espesyal nga kaso, nga nagpasayon sa pagpangita og mga paagi sa paglaktaw sa proteksyon. Pananglitan, kaniadtong Mayo, gisugyot sa Google ang Half-Double nga pamaagi, nga wala maapektuhan sa proteksyon sa TRR, tungod kay ang pag-atake nakaapekto sa mga selyula nga dili direkta nga kasikbit sa target.
Ang bag-ong pamaagi sa panday nagtanyag og lahi nga paagi sa pag-bypass sa proteksyon sa TRR, base sa dili uniporme nga pag-access sa duha o daghan pa nga mga aggressor string sa lain-laing mga frequency nga hinungdan sa charge leakage. Aron mahibal-an ang pattern sa pag-access sa memorya nga motultol sa pag-charge sa leakage, usa ka espesyal nga fuzzer ang gihimo nga awtomatiko nga nagpili sa mga parameter sa pag-atake alang sa usa ka piho nga chip, nga nagbag-o sa order, intensity ug sistematiko sa pag-access sa cell.
Ang ingon nga pamaagi, nga wala’y kalabotan sa pag-impluwensya sa parehas nga mga selyula, naghimo sa karon nga mga pamaagi sa pagpanalipod sa TRR nga dili epektibo, nga sa usa ka porma o sa lain pa hubag sa pag-ihap sa gidaghanon sa mga balik-balik nga tawag sa mga selyula ug, kung ang pipila nga mga kantidad maabot, magsugod sa pag-recharge. sa silingang mga selula. Sa Blacksmith, ang pattern sa pag-access kay mikaylap sa daghang mga cell sa usa ka higayon gikan sa lainlaing mga kilid sa target, nga nagpaposible nga makab-ot ang pagtulo sa bayad nga wala makaabot sa mga kantidad sa threshold.
Ang pamaagi nahimo nga labi ka epektibo kaysa kaniadto nga gisugyot nga mga pamaagi sa pag-bypass sa TRR - ang mga tigdukiduki nakahimo sa pagkab-ot sa gamay nga pagtuis sa tanan nga 40 nga bag-o lang gipalit ang lainlaing DDR4 memory chips nga gihimo sa Samsung, Micron, SK Hynix ug usa ka wala mailhi nga tiggama (ang tiggama mao ang wala gipiho sa 4 chips). Alang sa pagtandi, ang pamaagi sa TRRespass nga gisugyot kaniadto sa parehas nga mga tigdukiduki epektibo alang lamang sa 13 gikan sa 42 nga mga chips nga gisulayan nianang panahona.
Sa kinatibuk-an, ang Blacksmith nga pamaagi gilauman nga magamit sa 94% sa tanan nga DRAM chips sa merkado, apan ang mga tigdukiduki nag-ingon nga ang pipila ka mga chips mas huyang ug mas sayon sa pag-atake kay sa uban. Ang paggamit sa error correction codes (ECC) sa mga chips ug pagdoble sa memory refresh rate dili makahatag ug kompletong proteksyon, apan makapakomplikado sa operasyon. Mamatikdan nga ang problema dili ma-block sa na-release nga mga chips ug nagkinahanglan sa pagpatuman sa bag-ong proteksyon sa lebel sa hardware, mao nga ang pag-atake magpabilin nga may kalabutan sa daghang mga tuig.
Gihatag ang praktikal nga mga ehemplo kon unsaon paggamit ang Blacksmith aron usbon ang mga sulod sa mga entry sa memory page table entry (PTE) aron makakuha og mga pribilehiyo sa kernel, makadaot sa publikong RSA-2048 key nga gitipigan sa OpenSSH (mahimo nimong dad-on ang publikong key ngadto sa uban). virtual nga makina (katumbas sa pribadong yawe sa tig-atake para sa pagkonektar sa VM sa biktima) ug paglaktaw sa privilege checking pinaagi sa pag-usab sa memorya sa sudo process aron makakuha og root privileges. Depende sa chip, ang pag-ilis sa usa ka target bit mahimong molungtad gikan sa 3 segundos ngadto sa pipila ka oras aron makompleto.
Dugang pa, atong mamatikdan ang pagmantala sa bukas nga LiteX Row Hammer Tester framework alang sa pagsulay sa mga pamaagi sa pagpanalipod sa panumduman batok sa mga pag-atake sa klase sa RowHammer, nga gimugna sa Antmicro para sa Google. Ang balangkas gibase sa paggamit sa FPGA aron hingpit nga makontrol ang mga sugo nga direktang gipasa sa DRAM chip aron mawagtang ang impluwensya sa memory controller. Ang Toolkit sa Python gitanyag alang sa interaksyon sa FPGA. Ang gateway nga nakabase sa FPGA naglakip sa module para sa packet data transfer (naghubit sa memory access patterns), Payload Executor, LiteDRAM-based controller (nagproseso sa tanang logic nga gikinahanglan para sa DRAM, lakip na ang row activation ug memory update) ug VexRiscv CPU. Ang mga kalamboan sa proyekto giapod-apod ubos sa Apache 2.0 nga lisensya. Gisuportahan ang lainlaing mga platform sa FPGA, lakip ang Lattice ECP5, Xilinx Series 6, 7, UltraScale ug UltraScale +.
Source: opennet.ru
