Un squadra di circadori da ETH Zurich, Vrije Universiteit Amsterdam è Qualcomm anu publicatu un novu metudu di attaccu RowHammer chì pò cambià u cuntenutu di i pezzi individuali di memoria dinamica d'accessu aleatoriu (DRAM). L'attaccu hè statu chjamatu Blacksmith è identificatu cum'è CVE-2021-42114. Parechji chips DDR4 equipati di prutezzione contra i metudi di classi RowHammer previamente cunnisciuti sò suscettibili à u prublema. Strumenti per pruvà i vostri sistemi per a vulnerabilità sò publicati in GitHub.
Ricurdativi chì l'attacchi di classi RowHammer permettenu di distorsioni u cuntenutu di i bits di memoria individuali da leghje ciclicamente dati da e cellule di memoria vicine. Siccomu a memoria DRAM hè una matrice bidimensionale di cellule, ognuna composta da un condensatore è un transistor, eseguisce letture cuntinue di a stessa regione di memoria si traduce in fluttuazioni di tensione è anomalie chì causanu una piccula perdita di carica in e cellule vicine. Se l'intensità di lettura hè alta, allora a cellula vicina pò perde una quantità abbastanza grande di carica è u prossimu ciculu di regenerazione ùn hà micca tempu per restaurà u so statu originale, chì portarà à un cambiamentu di u valore di e dati guardati in a cellula. .
Per pruteggiri contra RowHammer, i pruduttori di chip prupunenu u mecanismu TRR (Target Row Refresh), chì prutege contra a corruzzione di e cellule in fila adiacente, ma postu chì a prutezzione hè stata basata nantu à u principiu di "sicurezza per l'oscurità", ùn hà micca risolviu u prublema à a ràdica, ma prutetta solu da i casi spiciali cunnisciuti, chì facia fàciule per truvà modi per bypassà a prutezzione. Per esempiu, in u maghju, Google hà prupostu u metudu Half-Double, chì ùn era micca affettatu da a prutezzione TRR, postu chì l'attaccu hà affettatu e cellule chì ùn eranu micca direttamente vicinu à u mira.
U novu metudu di Blacksmith offre un modu diversu per scaccià a prutezzione TRR, basatu annantu à l'accessu non-uniforme à duie o più corde aggressori à frequenze diverse per causà fuga di carica. Per determinà u mudellu d'accessu à a memoria chì porta à a fuga di carica, hè statu sviluppatu un fuzzer speciale chì selezziunate automaticamente i paràmetri di l'attaccu per un chip specificu, variendu l'ordine, l'intensità è a sistematicità di l'accessu cellulare.
Un tali approcciu, chì ùn hè micca assuciatu à influenzà e stesse cellule, rende inefficace i metudi attuali di prutezzione TRR, chì in una forma o l'altra si riduce à cuntà u nùmeru di chjamate ripetute à e cellule è, quandu certi valori sò righjunti, inizià a ricarica. di cellule vicine. In Blacksmith, u mudellu d'accessu hè spargugliatu in parechje cellule à una volta da e diverse lati di u mira, chì permette di ottene una fuga di carica senza ghjunghje à i valori di u so limitu.
U metudu hè diventatu significativamente più efficau cà i metudi pruposti in precedenza per aggirari TRR - i circadori anu sappiutu ottene una distorsione di bit in tutti i 40 chips di memoria DDR4 acquistati recentemente da Samsung, Micron, SK Hynix è un fabricatore scunnisciutu (u fabricatore era micca specificatu nantu à 4 chips). Per paragone, u metudu TRRespass prupostu prima da i stessi circadori era efficace per solu 13 di 42 chips pruvati à quellu tempu.
In generale, u metudu Blacksmith hè previstu di applicà à u 94% di tutti i chips DRAM in u mercatu, ma i circadori dicenu chì certi chips sò più vulnerabili è più faciuli à attaccà cà l'altri. L'usu di codici di correzione d'errore (ECC) in chips è duppià a freccia di rinfrescante di memoria ùn furnisce micca una prutezzione cumpleta, ma complica l'operazione. Hè nutate chì u prublema ùn pò esse bluccatu in chips digià liberati è esige l'implementazione di una nova prutezzione à u nivellu di hardware, cusì l'attaccu ferma pertinenti per parechji anni.
Esempi pratichi sò dati di cumu aduprà Blacksmith per mudificà u cuntenutu di l'entrate in l'entrata di a tavula di pagina di memoria (PTE) per ottene privilegi di kernel, dannà a chjave publica RSA-2048 almacenata in OpenSSH (pudete purtà a chjave publica in quella di qualcunu altru). macchina virtuale (currispondente à a chjave privata di l'attaccante per cunnette si à a VM di a vittima) è saltendu a verificazione di privilegi mudificendu a memoria di u prucessu sudo per ottene i privilegi di root. Sicondu u chip, cambià un bit di destinazione pò piglià da 3 secondi à parechje ore per compie.
Inoltre, pudemu nutà a publicazione di u framework LiteX Row Hammer Tester apertu per pruvà metudi di prutezzione di memoria contr'à attacchi di classi RowHammer, sviluppatu da Antmicro per Google. U quadru hè basatu annantu à l'usu di FPGA per cuntrullà cumpletamente i cumandamenti trasmessi direttamente à u chip DRAM per eliminà l'influenza di u controller di memoria. Toolkit in Python hè offertu per l'interazzione cù FPGA. U gateway basatu in FPGA include un modulu per u trasferimentu di dati di pacchetti (definisce i mudelli di accessu à a memoria), un Payload Executor, un controller basatu in LiteDRAM (processa tutta a logica necessaria per a DRAM, cumprese l'attivazione di fila è l'aghjurnamentu di memoria) è un CPU VexRiscv. I sviluppi di u prugettu sò distribuiti sottu a licenza Apache 2.0. Diverse piattaforme FPGA sò supportate, cumprese Lattice ECP5, Xilinx Series 6, 7, UltraScale è UltraScale +.
Source: opennet.ru
