Et team af forskere fra Vrije Universiteit Amsterdam, ETH Zürich og Qualcomm undersøgelse af effektiviteten af beskyttelse mod klasseangreb brugt i moderne DDR4-hukommelseschips , hvilket giver dig mulighed for at ændre indholdet af individuelle bits af DRAM (Dynamic Random Access Memory). Resultaterne var skuffende, og DDR4-chips fra store producenter er stadig sårbar ().
RowHammer-sårbarheden gør det muligt at ødelægge indholdet af individuelle hukommelsesbits ved cyklisk læsning af data fra tilstødende hukommelsesceller. Da DRAM-hukommelse er et todimensionelt array af celler, der hver består af en kondensator og en transistor, resulterer udførelse af kontinuerlige aflæsninger af det samme hukommelsesområde i spændingsudsving og anomalier, der forårsager et lille tab af ladning i naboceller. Hvis læseintensiteten er høj nok, kan cellen miste en tilstrækkelig stor mængde ladning, og den næste regenereringscyklus vil ikke have tid til at genoprette sin oprindelige tilstand, hvilket vil føre til en ændring i værdien af de data, der er lagret i cellen .
For at blokere denne effekt bruger moderne DDR4-chips TRR-teknologi (Target Row Refresh), designet til at forhindre celler i at blive beskadiget under et RowHammer-angreb. Problemet er, at der ikke er en enkelt tilgang til implementering af TRR, og hver CPU- og hukommelsesproducent fortolker TRR på sin egen måde, anvender sine egne beskyttelsesmuligheder og afslører ikke implementeringsdetaljer.
At studere RowHammer-blokeringsmetoderne brugt af producenter gjorde det nemt at finde måder at omgå beskyttelsen. Ved inspektion viste det sig, at det princip, som producenterne praktiserer " (sikkerhed ved obscurity), når TRR implementeres, hjælper kun til beskyttelse i særlige tilfælde, og dækker typiske angreb, der manipulerer ændringer i ladningen af celler i en eller to tilstødende rækker.
Værktøjet udviklet af forskerne gør det muligt at kontrollere chipss modtagelighed for multilaterale varianter af RowHammer-angrebet, hvor der forsøges at påvirke ladningen for flere rækker af hukommelsesceller på én gang. Sådanne angreb kan omgå TRR-beskyttelse implementeret af nogle producenter og føre til hukommelsesbitkorruption, selv på ny hardware med DDR4-hukommelse.
Af de 42 undersøgte DIMM'er viste 13 moduler sig at være sårbare over for ikke-standardvarianter af RowHammer-angrebet, på trods af den erklærede beskyttelse. De problematiske moduler blev produceret af SK Hynix, Micron og Samsung, hvis produkter 95 % af DRAM-markedet.
Udover DDR4 blev der også undersøgt LPDDR4-chips brugt i mobile enheder, som også viste sig at være følsomme over for avancerede varianter af RowHammer-angrebet. Især den hukommelse, der blev brugt i Google Pixel, Google Pixel 3, LG G7, OnePlus 7 og Samsung Galaxy S10 smartphones, var påvirket af problemet.
Forskere var i stand til at reproducere adskillige udnyttelsesteknikker på problematiske DDR4-chips. For eksempel ved at bruge RowHammer- for PTE (Page Table Entries) tog det fra 2.3 sekunder til tre timer og femten sekunder at opnå kernerettigheder, afhængigt af de testede chips. for beskadigelse af den offentlige nøgle, der er gemt i hukommelsen, tog RSA-2048 fra 74.6 sekunder til 39 minutter og 28 sekunder. det tog 54 minutter og 16 sekunder at omgå legitimationskontrollen via hukommelsesmodifikation af sudo-processen.
Et hjælpeprogram er blevet udgivet til at kontrollere de DDR4-hukommelseschips, der bruges af brugere . For at kunne udføre et angreb med succes kræves information om layoutet af fysiske adresser, der bruges i hukommelsescontrolleren i forhold til banker og rækker af hukommelsesceller. Der er desuden udviklet et hjælpeprogram til at bestemme layoutet , som kræver at køre som root. Også i den nærmeste fremtid udgive en applikation til test af smartphone-hukommelse.
selskab и For at beskytte dem rådede de til at bruge fejlkorrigerende hukommelse (ECC), hukommelsescontrollere med understøttelse af Maximum Activate Count (MAC) og bruge en øget opdateringshastighed. Forskere mener, at der for allerede frigivne chips ikke er nogen løsning til garanteret beskyttelse mod Rowhammer, og brugen af ECC og forøgelse af hyppigheden af hukommelsesregenerering viste sig at være ineffektiv. Det blev f.eks. tidligere foreslået angreb på DRAM-hukommelse, der omgår ECC-beskyttelse, og viser også muligheden for at angribe DRAM igennem , fra и kører JavaScript i browseren.
Kilde: opennet.ru