Μια ομάδα ερευνητών από το Vrije Universiteit Amsterdam, το ETH Zurich και την Qualcomm μελέτη της αποτελεσματικότητας της προστασίας από επιθέσεις τάξης που χρησιμοποιείται σε σύγχρονα τσιπ μνήμης DDR4 , επιτρέποντάς σας να αλλάξετε τα περιεχόμενα μεμονωμένων bits μνήμης δυναμικής τυχαίας πρόσβασης (DRAM). Τα αποτελέσματα ήταν απογοητευτικά και τα τσιπ DDR4 από μεγάλους κατασκευαστές εξακολουθούν να είναι ευάλωτα ().
Η ευπάθεια RowHammer επιτρέπει την καταστροφή των περιεχομένων των μεμονωμένων bit μνήμης με την κυκλική ανάγνωση δεδομένων από γειτονικά κελιά μνήμης. Δεδομένου ότι η μνήμη DRAM είναι μια δισδιάστατη συστοιχία κυψελών, η καθεμία αποτελούμενη από έναν πυκνωτή και ένα τρανζίστορ, η εκτέλεση συνεχών αναγνώσεων της ίδιας περιοχής μνήμης έχει ως αποτέλεσμα διακυμάνσεις τάσης και ανωμαλίες που προκαλούν μικρή απώλεια φορτίου σε γειτονικές κυψέλες. Εάν η ένταση ανάγνωσης είναι αρκετά υψηλή, τότε το κύτταρο μπορεί να χάσει αρκετά μεγάλο ποσό φόρτισης και ο επόμενος κύκλος αναγέννησης δεν θα έχει χρόνο να επαναφέρει την αρχική του κατάσταση, γεγονός που θα οδηγήσει σε αλλαγή της τιμής των δεδομένων που είναι αποθηκευμένα στο κελί .
Για να μπλοκάρουν αυτό το αποτέλεσμα, τα σύγχρονα τσιπ DDR4 χρησιμοποιούν την τεχνολογία TRR (Target Row Refresh), σχεδιασμένη να αποτρέπει την καταστροφή των κυττάρων κατά τη διάρκεια μιας επίθεσης RowHammer. Το πρόβλημα είναι ότι δεν υπάρχει ενιαία προσέγγιση για την υλοποίηση του TRR και κάθε κατασκευαστής CPU και μνήμης ερμηνεύει το TRR με τον δικό του τρόπο, εφαρμόζει τις δικές του επιλογές προστασίας και δεν αποκαλύπτει λεπτομέρειες υλοποίησης.
Η μελέτη των μεθόδων αποκλεισμού RowHammer που χρησιμοποιούνται από τους κατασκευαστές διευκόλυνε την εύρεση τρόπων παράκαμψης της προστασίας. Μετά από έλεγχο, προέκυψε ότι η αρχή που εφαρμόζουν οι κατασκευαστές " (ασφάλεια από το σκοτάδι) κατά την εφαρμογή του TRR βοηθά μόνο για προστασία σε ειδικές περιπτώσεις, καλύπτοντας τυπικές επιθέσεις που χειρίζονται αλλαγές στη φόρτιση των κελιών σε μία ή δύο παρακείμενες σειρές.
Το βοηθητικό πρόγραμμα που αναπτύχθηκε από τους ερευνητές καθιστά δυνατό τον έλεγχο της ευαισθησίας των τσιπ σε πολυμερείς παραλλαγές της επίθεσης RowHammer, στην οποία γίνεται προσπάθεια να επηρεαστεί η φόρτιση για πολλές σειρές κυψελών μνήμης ταυτόχρονα. Τέτοιες επιθέσεις μπορούν να παρακάμψουν την προστασία TRR που εφαρμόζεται από ορισμένους κατασκευαστές και να οδηγήσουν σε καταστροφή των bit μνήμης, ακόμη και σε νέο υλικό με μνήμη DDR4.
Από τα 42 DIMM που μελετήθηκαν, 13 μονάδες αποδείχθηκαν ευάλωτες σε μη τυπικές παραλλαγές της επίθεσης RowHammer, παρά τη δηλωμένη προστασία. Οι προβληματικές μονάδες κατασκευάστηκαν από την SK Hynix, τη Micron και τη Samsung, τα προϊόντα της οποίας 95% της αγοράς DRAM.
Εκτός από το DDR4, μελετήθηκαν επίσης τσιπ LPDDR4 που χρησιμοποιούνται σε φορητές συσκευές, τα οποία επίσης αποδείχθηκαν ευαίσθητα σε προηγμένες παραλλαγές της επίθεσης RowHammer. Συγκεκριμένα, η μνήμη που χρησιμοποιείται στα smartphone Google Pixel, Google Pixel 3, LG G7, OnePlus 7 και Samsung Galaxy S10 επηρεάστηκε από το πρόβλημα.
Οι ερευνητές μπόρεσαν να αναπαράγουν διάφορες τεχνικές εκμετάλλευσης σε προβληματικά τσιπ DDR4. Για παράδειγμα, χρησιμοποιώντας RowHammer- για το PTE (Page Table Entries) χρειάστηκαν από 2.3 δευτερόλεπτα έως τρεις ώρες και δεκαπέντε δευτερόλεπτα για να αποκτηθεί το προνόμιο του πυρήνα, ανάλογα με τα μάρκες που δοκιμάστηκαν. για ζημιά στο δημόσιο κλειδί που είναι αποθηκευμένο στη μνήμη, το RSA-2048 χρειάστηκε από 74.6 δευτερόλεπτα έως 39 λεπτά και 28 δευτερόλεπτα. Χρειάστηκαν 54 λεπτά και 16 δευτερόλεπτα για να παρακαμφθεί ο έλεγχος διαπιστευτηρίων μέσω τροποποίησης μνήμης της διαδικασίας sudo.
Έχει δημοσιευτεί ένα βοηθητικό πρόγραμμα για τον έλεγχο των τσιπ μνήμης DDR4 που χρησιμοποιούνται από τους χρήστες . Για την επιτυχή εκτέλεση μιας επίθεσης, απαιτούνται πληροφορίες σχετικά με τη διάταξη των φυσικών διευθύνσεων που χρησιμοποιούνται στον ελεγκτή μνήμης σε σχέση με τράπεζες και σειρές κυψελών μνήμης. Έχει αναπτυχθεί επιπλέον ένα βοηθητικό πρόγραμμα για τον προσδιορισμό της διάταξης , το οποίο απαιτεί εκτέλεση ως root. Στο εγγύς μέλλον επίσης δημοσιεύστε μια εφαρμογή για τη δοκιμή της μνήμης smartphone.
Εταιρείες и Για προστασία, συνέστησαν τη χρήση μνήμης διόρθωσης σφαλμάτων (ECC), ελεγκτές μνήμης με υποστήριξη Maximum Activate Count (MAC) και χρήση αυξημένου ρυθμού ανανέωσης. Οι ερευνητές πιστεύουν ότι για τα τσιπ που έχουν ήδη κυκλοφορήσει δεν υπάρχει λύση για εγγυημένη προστασία από το Rowhammer και η χρήση του ECC και η αύξηση της συχνότητας αναγέννησης μνήμης αποδείχθηκε αναποτελεσματική. Για παράδειγμα, είχε προταθεί παλαιότερα επιτίθεται στη μνήμη DRAM παρακάμπτοντας την προστασία ECC και δείχνει επίσης τη δυνατότητα επίθεσης μέσω DRAM , από и εκτέλεση JavaScript στο πρόγραμμα περιήγησης.
Πηγή: opennet.ru