Blacksmith — neuer Angriff auf DRAM-Speicher und DDR4-Chips

Eine Gruppe von Forschern der ETH Zürich, der Vrije Universiteit Amsterdam und Qualcomm hat eine neue RowHammer-Angriffsart veröffentlicht, die es ermöglicht, den Inhalt einzelner Bits des dynamischen RAM (DRAM) zu verändern. Der Angriff trägt den Codenamen Blacksmith und die Kennung CVE-2021-42114. Viele DDR4-Chips, die mit einem Schutz gegen zuvor bekannte RowHammer-Methoden ausgestattet sind, sind anfällig für dieses Problem. Ein Toolkit zur Überprüfung der eigenen Systeme auf diese Sicherheitsanfälligkeit wurde auf GitHub veröffentlicht.

Es ist wichtig zu beachten, dass Angriffe der Klasse RowHammer es ermöglichen, den Inhalt einzelner Bits im Speicher zu verfälschen, indem Daten aus benachbarten Speicherzellen zyklisch gelesen werden. Da DRAM-Speicher aus einem zweidimensionalen Array von Zellen besteht, die je aus einem Kondensator und einem Transistor bestehen, führt das kontinuierliche Lesen eines bestimmten Speicherbereichs zu Spannungsfluktuationen und Anomalien, die einen geringen Ladeverlust in benachbarten Zellen verursachen. Bei intensiven Lesevorgängen kann eine benachbarte Zelle genügend Ladung verlieren, sodass der nächste Regenerationszyklus nicht ausreicht, um ihren ursprünglichen Zustand wiederherzustellen, was zu einer Änderung des in der Zelle gespeicherten Wertes führt.

Um sich gegen RowHammer zu schützen, haben Chip-Hersteller den Mechanismus TRR (Target Row Refresh) entwickelt, der vor der Verfälschung von Zellen in benachbarten Zeilen schützt. Diese Sicherheitsmaßnahme beruhte jedoch auf dem Prinzip "Sicherheit durch Unklarheit" und löste das zugrunde liegende Problem nicht, sondern bot lediglich Schutz vor bekannten Einzelfällen, was es einfach machte, Umgehungsmöglichkeiten zu finden. Beispielsweise stellte Google im Mai eine Methode namens Half-Double vor, auf die der TRR-Schutz nicht ansprach, da bei diesem Angriff Zellen betroffen waren, die nicht direkt an die Zielzelle angrenzen.

Die neue Methode Blacksmith bietet einen alternativen Ansatz zur Umgehung des TRR-Schutzes. Sie basiert auf einer ungleichmäßigen Behandlung mit unterschiedlicher Frequenz von zwei oder mehr Angreiferzeilen, um eine Ladungsleckage zu verursachen. Um das Muster des Zugriffs auf den Speicher zu bestimmen, das zu einer Ladungsleckage führt, wurde ein spezieller Fuzzer entwickelt, der automatisch Angriff Parameter für spezifische Chips ermittelt, indem er die Reihenfolge, Intensität und Systematik des Zugriffs auf die Zellen variiert.

Eine solche Methode, die nicht mit den gleichen Zellen interagiert, macht die derzeitigen TRR-Schutzmaßnahmen ineffektiv. Diese basieren letztlich auf der Zählung der wiederholten Zugriffe auf Zellen und initiieren bei Erreichen bestimmter Werte eine Neuladung benachbarter Zellen. Im Blacksmith-Zugriffsmuster wird der Zugang sofort auf mehrere Zellen von verschiedenen Seiten der Zielzelle verteilt, was eine Ladungslücke ermöglicht, ohne die Schwellenwerte zu erreichen.

Die Methode hat sich als deutlich effektiver erwiesen als frühere Ansätze zur Umgehung von TRR. Die Forscher konnten Bitverzerrungen in allen 40 neu erworbenen DDR4-Speicherchips von Herstellern wie Samsung, Micron, SK Hynix und einem unbekannten Hersteller (bei 4 Chips war der Hersteller nicht angegeben) erzielen. Zum Vergleich, die vorher von denselben Forschern vorgeschlagene Methode TRRespass war nur für 13 von 42 damals getesteten Chips effektiv.

Generell wird angenommen, dass die Blacksmith-Methode auf 94 % aller DRAM-Chips anwendbar ist, die auf dem Markt erhältlich sind. Forscher geben jedoch an, dass einige Chips anfälliger und leichter anzugreifen sind als andere. Die Verwendung von ECC-Speicherfehlerkorrekturen und einer verdoppelten Speicheraktualisierungsrate bietet keinen vollständigen Schutz, erschwert jedoch den Angriff. Bemerkenswert ist, dass das Problem in bereits produzierten Chips nicht durch Software-Updates behoben werden kann und eine neue Hardware-Schutzmaßnahme erfordert, weshalb diese Attacke noch viele Jahre relevant bleiben wird.

Als praktische Beispiele werden Methoden genannt, bei denen Blacksmith verwendet wird, um den Inhalt von Seitenadresseneinträgen (PTE, Page Table Entry) zu modifizieren, um Kernelprivilegien zu erlangen, den im Speicher gespeicherten öffentlichen Schlüssel RSA-2048 in OpenSSH zu beschädigen (was dazu führen kann, dass der öffentliche Schlüssel mit dem privaten Schlüssel des Angreifers übereinstimmt, um sich mit der VM des Opfers zu verbinden), und um die Berechtigungsüberprüfung durch Änderung des Speichers des sudo-Prozesses zu umgehen, um Root-Rechte zu erhalten. Je nach Chip kann es von 3 Sekunden bis zu mehreren Stunden dauern, um ein einzelnes Zielbit zu ändern. virtuellen Maschine к соответствию закрытому ключу атакующего для подключения к VM жертвы) и обхода проверки полномочий через модификацию памяти процесса sudo для получения полномочий root. В зависимости от чипа для изменения одного целевого бита требуется от 3 секунд до нескольких часов проведения атаки.

Video abspielen

Zusätzlich kann die Veröffentlichung des offenen Frameworks LiteX Row Hammer Tester hervorgehoben werden, das entwickelt wurde, um Methoden zum Schutz von Speicher vor RowHammer-Angriffen zu überprüfen. Dieses Framework wurde von Antmicro im Auftrag von Google konzipiert und basiert auf der Nutzung von FPGAs, um vollständige Kontrolle über die Befehle zu erhalten, die direkt an den DRAM-Chip gesendet werden, wodurch der Einfluss des Speichercontrollers ausgeschlossen wird. Für die Interaktion mit FPGA wird ein Toolkit in Python bereitgestellt. Die FPGA-Basis umfasst ein Modul für die paketweise Datenübertragung (das Zugriffsmuster auf den Speicher definiert), einen Payload-Executor, einen Controller auf Basis von LiteDRAM (der die gesamte erforderliche Logik für DRAM verarbeitet, einschließlich der Aktivierung von Zeilen und der Aktualisierung des Speichers) sowie eine CPU VexRiscv. Die Ergebnisse des Projekts werden unter der Apache 2.0-Lizenz veröffentlicht. Es wird die Verwendung verschiedener FPGA-Plattformen unterstützt, einschließlich Lattice ECP5, Xilinx Series 6, 7, UltraScale und UltraScale+.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster