Ein Team von Forschern der Vrije Universiteit Amsterdam, der ETH Zürich und Qualcomm Untersuchung der Wirksamkeit des Schutzes gegen Klassenangriffe, der in modernen DDR4-Speicherchips verwendet wird , wodurch Sie den Inhalt einzelner Bits des dynamischen Direktzugriffsspeichers (DRAM) ändern können. Die Ergebnisse waren enttäuschend und DDR4-Chips großer Hersteller sind es immer noch verletzlich ().
Die RowHammer-Schwachstelle ermöglicht die Beschädigung des Inhalts einzelner Speicherbits durch zyklisches Lesen von Daten aus benachbarten Speicherzellen. Da es sich bei einem DRAM-Speicher um eine zweidimensionale Anordnung von Zellen handelt, die jeweils aus einem Kondensator und einem Transistor bestehen, führt das kontinuierliche Lesen desselben Speicherbereichs zu Spannungsschwankungen und Anomalien, die zu einem geringen Ladungsverlust in benachbarten Zellen führen. Wenn die Leseintensität hoch genug ist, verliert die Zelle möglicherweise eine ausreichend große Ladungsmenge und der nächste Regenerationszyklus hat keine Zeit, ihren ursprünglichen Zustand wiederherzustellen, was zu einer Änderung des Werts der in der Zelle gespeicherten Daten führt .
Um diesen Effekt zu blockieren, verwenden moderne DDR4-Chips die TRR-Technologie (Target Row Refresh), die verhindern soll, dass Zellen während eines RowHammer-Angriffs beschädigt werden. Das Problem besteht darin, dass es keinen einheitlichen Ansatz zur Implementierung von TRR gibt und jeder CPU- und Speicherhersteller TRR auf seine eigene Weise interpretiert, seine eigenen Schutzoptionen anwendet und keine Implementierungsdetails offenlegt.
Die Untersuchung der von den Herstellern verwendeten RowHammer-Blockierungsmethoden machte es einfach, Möglichkeiten zur Umgehung des Schutzes zu finden. Bei der Prüfung stellte sich heraus, dass der von den Herstellern praktizierte Grundsatz „ (Security by Obscurity) bei der Implementierung von TRR dient nur dem Schutz in Sonderfällen und deckt typische Angriffe ab, bei denen Ladungsänderungen von Zellen in einer oder zwei benachbarten Zeilen manipuliert werden.
Das von den Forschern entwickelte Dienstprogramm ermöglicht es, die Anfälligkeit von Chips für multilaterale Varianten des RowHammer-Angriffs zu überprüfen, bei dem versucht wird, die Ladung für mehrere Reihen von Speicherzellen gleichzeitig zu beeinflussen. Solche Angriffe können den von einigen Herstellern implementierten TRR-Schutz umgehen und zu einer Beschädigung der Speicherbits führen, selbst auf neuer Hardware mit DDR4-Speicher.
Von den 42 untersuchten DIMMs erwiesen sich 13 Module trotz des erklärten Schutzes als anfällig für nicht standardmäßige Varianten des RowHammer-Angriffs. Die problematischen Module wurden von SK Hynix, Micron und Samsung hergestellt, deren Produkte 95 % des DRAM-Marktes.
Neben DDR4 wurden auch in Mobilgeräten verwendete LPDDR4-Chips untersucht, die sich ebenfalls als empfindlich gegenüber fortgeschrittenen Varianten des RowHammer-Angriffs erwiesen. Von dem Problem war insbesondere der verwendete Speicher der Smartphones Google Pixel, Google Pixel 3, LG G7, OnePlus 7 und Samsung Galaxy S10 betroffen.
Forscher konnten mehrere Ausnutzungstechniken auf problematischen DDR4-Chips reproduzieren. Zum Beispiel mit RowHammer- Bei PTE (Page Table Entries) dauerte es je nach getesteten Chips zwischen 2.3 Sekunden und drei Stunden und fünfzehn Sekunden, um Kernel-Berechtigungen zu erhalten. Für die Beschädigung des im Speicher gespeicherten öffentlichen Schlüssels benötigte RSA-2048 von 74.6 Sekunden auf 39 Minuten und 28 Sekunden. Es dauerte 54 Minuten und 16 Sekunden, um die Überprüfung der Anmeldeinformationen durch Speichermodifikation des Sudo-Prozesses zu umgehen.
Es wurde ein Dienstprogramm veröffentlicht, mit dem die von Benutzern verwendeten DDR4-Speicherchips überprüft werden können . Um einen Angriff erfolgreich durchzuführen, sind Informationen über die Anordnung der im Speichercontroller verwendeten physikalischen Adressen in Bezug auf Bänke und Reihen von Speicherzellen erforderlich. Zusätzlich wurde ein Dienstprogramm zur Festlegung des Layouts entwickelt , was die Ausführung als Root erfordert. Auch in naher Zukunft Veröffentlichen Sie eine Anwendung zum Testen des Smartphone-Speichers.
Firmen и Zum Schutz empfahlen sie die Verwendung von Fehlerkorrekturspeicher (ECC), Speichercontrollern mit MAC-Unterstützung (Maximum Activate Count) und eine erhöhte Bildwiederholfrequenz. Forscher glauben, dass es für bereits freigegebene Chips keine Lösung für einen garantierten Schutz vor Rowhammer gibt und sich der Einsatz von ECC und die Erhöhung der Häufigkeit der Speicherregeneration als unwirksam erwiesen. Beispielsweise wurde es bereits früher vorgeschlagen Angriffe auf DRAM-Speicher unter Umgehung des ECC-Schutzes und zeigt auch die Möglichkeit, DRAM anzugreifen , et и Ausführen von JavaScript im Browser.
Source: opennet.ru