I ricercatori di l'ETH Zurich anu sviluppatu l'attaccu ZenHammer, una variante di a classa di attacchi RowHammer per mudificà u cuntenutu di i pezzi individuali di memoria dinamica d'accessu aleatoriu (DRAM), adattatu per l'usu nantu à e plataforme cù processori AMD. L'attacchi passati di RowHammer sò stati limitati à i sistemi basati nantu à i prucessori Intel, ma a ricerca hà dimustratu chì a corruzzione di a memoria pò ancu esse ottenuta nantu à e plataforme cù cuntrolli di memoria AMD.
U metudu hè statu dimustratu nantu à i sistemi AMD Zen 2 è Zen 3 cù memoria DDR4 da trè pruduttori principali (Samsung, Micron è SK Hynix). L'attaccu passa cù successu u mecanismu TRR (Target Row Refresh) implementatu in chips di memoria, chì hè destinatu à prutege contra a corruzzione di e cellule di memoria in fila adiacente. Sicondu i circadori, i sistemi basati in CPU AMD Zen 3 sò più vulnerabili cà i sistemi cù processori Intel Coffee Lake, è sò più faciuli è più efficaci per attaccà. Nant'à i sistemi AMD Zen 2, a distorsione di cellula hè stata ottenuta per 7 di 10 chips DDR4 testati, è in sistemi Zen 3 per 6 fora di 10. I ricercatori anu analizatu ancu a pussibilità di un attaccu à i sistemi AMD Zen 4 cù memoria DDR5, ma l'attaccu. U metudu sviluppatu per DDR4 hè statu ripruduciutu cù successu in solu 1 di 10 chips di memoria DDR5 testati, mentre chì a pussibilità di un attaccu stessu ùn hè micca escluditu, ma esige u sviluppu di mudelli di lettura più efficaci adattati per i dispositi DDR5.
Per travaglià cù chips AMD, anu sappiutu adattà sfruttamenti sviluppati prima chì cambianu u cuntenutu di e voci in a tavola di pagina di memoria (PTE, entrata di a tabella di pagina) per guadagnà privilegi di kernel, bypass password / cuntrolli di l'autorità mudificà a memoria di u prucessu sudo. , è dannu a chjave publica RSA-2048 guardata in memoria in OpenSSH per ricreà a chjave privata. L'attaccu di a pagina di memoria hè statu riproduciutu nantu à 7 di 10 chips DDR4 pruvati, l'attaccu chjave RSA nantu à 6 chips, è l'attaccu sudo à 4 chips, cù tempi d'attaccu di 164, 267 è 209 seconde, rispettivamente.
U metudu pò ancu esse usatu per attaccà un sistema attraversu i navigatori, per fà cambiamenti da e macchine virtuale, o per lancià un attaccu nantu à una reta. U codice fonte per u toolkit DARE per l'ingegneria inversa di u layout di l'indirizzu in a memoria DRAM hè publicatu in GitHub sottu una licenza MIT, è ancu duie serie di utilità per fuzzing testing di corruzzione di bit in memoria - ddr4_zen2_zen3_pub per chips DDR4 (Zen 2 è Zen). 3) è ddr5_zen4_pub per chips DDR5 ( Zen 4), chì ponu esse usatu per pruvà i so sistemi per a suscettibilità à l'attaccu.
U metudu RowHammer hè utilizatu per distorsionà i bits, chì hè basatu annantu à u fattu chì in a memoria DRAM, chì hè una matrice bidimensionale di cellule custituita da un condensatore è un transistor, eseguendu letture cuntinue di a stessa regione di memoria porta à fluttuazioni di tensione è anomalie chì causanu una piccula perdita di carica di e cellule vicine. Se l'intensità di lettura hè alta, allora a cellula vicina pò perde una quantità abbastanza grande di carica è u prossimu ciculu di regenerazione ùn hà micca tempu per restaurà u so statu uriginale, chì portarà à un cambiamentu di u valore di i dati guardati in a cellula. . L'investigatore hà identificatu e caratteristiche di a mappatura di a memoria fisica è a sincronizazione cù i meccanismi di l'aghjurnamentu di a memoria utilizati in i processori AMD, chì anu permessu di ricreà l'indirizzu DRAM di bassu livellu, determinà l'indirizzi di e cellule vicine, sviluppà metudi per sguassate caching, è calculà mudelli è frequenza. di operazioni chì portanu à a perdita di carica.
Per prutezzione di RowHammer, i pruduttori di chip utilizanu u mecanismu TRR (Target Row Refresh), chì blucca a corruzzione di e cellule in casi speciali, ma ùn pruteghja micca da tutte l'opzioni d'attaccu pussibuli. U metudu più efficau di prutezzione resta l'usu di memoria cù codici di correzione d'errore (ECC), chì complicanu significativamente, ma ùn eliminanu micca completamente, l'attacchi RowHammer. Aumentà a freccia di regenerazione di memoria pò ancu riduce a probabilità di un attaccu successu.
AMD hà publicatu un rapportu nantu à u prublema chì dice chì i prucessori AMD utilizanu controller di memoria chì rispettanu e specificazioni DDR, è postu chì u successu di l'attaccu dipende principarmenti da i paràmetri di u sistema è a memoria DRAM, e dumande nantu à a risoluzione di u prublema deve esse diretta à i pruduttori di memoria. è sistemi I modi esistenti per fà l'attacchi di classi Rowhammer più difficili includenu l'usu di memoria ECC, aumentendu a freccia di rigenerazione di memoria, disattivendu u modu di rigenerazione differita, è l'usu di processori cù cuntrolli chì supportanu u modu MAC (Maximum Activate Count) per DDR4 (1st, 2nd and 3rd). generazione AMD EPYC "Naple", "Roma" è "Milan") è RFM (Refresh Management) per DDR5 (4a generazione AMD EPYC).
Source: opennet.ru