Teamo de esploristoj de la Vrije Universiteit Amsterdamo, ETH Zuriko kaj Qualcomm studo de la efikeco de protekto kontraŭ klasaj atakoj uzataj en modernaj DDR4-memorblatoj , permesante al vi ŝanĝi la enhavon de individuaj pecoj de dinamika hazarda alira memoro (DRAM). La rezultoj estis seniluziigaj kaj DDR4-blatoj de ĉefaj fabrikantoj ankoraŭ estas vundebla ().
La vundebleco de RowHammer permesas al la enhavo de individuaj memorpecoj esti koruptita cikle legante datenojn de apudaj memorĉeloj. Ĉar DRAM-memoro estas dudimensia aro de ĉeloj, ĉiu konsistante el kondensilo kaj transistoro, elfari kontinuajn legadojn de la sama memorregiono rezultigas tensiajn fluktuojn kaj anomaliojn kiuj kaŭzas malgrandan perdon de ŝargo en najbaraj ĉeloj. Se la legadintenseco estas sufiĉe alta, tiam la ĉelo eble perdos sufiĉe grandan kvanton da ŝargo kaj la sekva regenera ciklo ne havos tempon restarigi sian originan staton, kio kondukos al ŝanĝo en la valoro de la datumoj konservitaj en la ĉelo. .
Por bloki ĉi tiun efikon, modernaj DDR4-fritoj uzas TRR (Target Row Refresh) teknologion, dizajnitan por malhelpi ĉelojn esti koruptitaj dum RowHammer-atako. La problemo estas, ke ne ekzistas ununura aliro al efektivigo de TRR kaj ĉiu fabrikanto de CPU kaj memoro interpretas TRR laŭ sia propra maniero, aplikas siajn proprajn protektajn elektojn kaj ne malkaŝas efektivigdetalojn.
Studi la metodojn de blokado de RowHammer uzataj de fabrikantoj faciligis trovi manierojn preteriri la protekton. Inspektinte, montriĝis, ke la principo praktikata de fabrikantoj " (sekureco per obskureco) kiam efektivigado de TRR helpas nur por protekto en specialaj kazoj, kovrante tipaj atakoj manipulante ŝanĝojn en la ŝarĝo de ĉeloj en unu aŭ du apudaj vicoj.
La utileco disvolvita de la esploristoj ebligas kontroli la malsaniĝemecon de blatoj al plurflankaj variantoj de la atako RowHammer, en kiu oni provos influi la ŝargon por pluraj vicoj de memorĉeloj samtempe. Tiaj atakoj povas preteriri TRR-protekton efektivigitan de iuj produktantoj kaj konduki al memorbitkorupto, eĉ sur nova aparataro kun DDR4-memoro.
El la 42 DIMM-oj studitaj, 13 moduloj montriĝis vundeblaj al ne-normaj variantoj de la atako RowHammer, malgraŭ la deklarita protekto. La problemaj moduloj estis produktitaj de SK Hynix, Micron kaj Samsung, kies produktoj 95% de la DRAM-merkato.
Krom DDR4, LPDDR4-fritoj uzataj en porteblaj aparatoj ankaŭ estis studitaj, kiuj ankaŭ montriĝis sentemaj al progresintaj variantoj de la atako RowHammer. Precipe, la memoro uzata en la inteligentaj telefonoj Google Pixel, Google Pixel 3, LG G7, OnePlus 7 kaj Samsung Galaxy S10 estis tuŝita de la problemo.
Esploristoj povis reprodukti plurajn ekspluatteknikojn sur problemaj DDR4-fritoj. Ekzemple, uzante RowHammer- por PTE (Page Table Entries) necesis de 2.3 sekundoj ĝis tri horoj kaj dek kvin sekundoj por akiri kernan privilegion, depende de la testitaj blatoj. por damaĝo al la publika ŝlosilo stokita en memoro, RSA-2048 daŭris de 74.6 sekundoj ĝis 39 minutoj 28 sekundoj. necesis 54 minutoj kaj 16 sekundoj por preterpasi la kontrolon de akreditaĵoj per memormodifo de la sudo-procezo.
Utilaĵo estis publikigita por kontroli la DDR4-memorblatojn uzatajn de uzantoj . Por sukcese efektivigi atakon, necesas informoj pri la aranĝo de fizikaj adresoj uzataj en la memorregilo rilate bankojn kaj vicojn de memorĉeloj. Ilo estis aldone evoluigita por determini la aranĝon , kiu postulas funkcii kiel radiko. En la proksima estonteco ankaŭ eldoni aplikaĵon por testi saĝtelefonan memoron.
Kompanioj и Por protekto, ili konsilis uzi erarkorektan memoron (ECC), memorregilojn kun Maximum Activate Count (MAC) subteno, kaj uzi pliigitan refreŝigan indicon. Esploristoj opinias, ke por jam liberigitaj blatoj ne ekzistas solvo por garantiita protekto kontraŭ Rowhammer, kaj la uzo de ECC kaj pliigo de la ofteco de memorregenerado montriĝis neefika. Ekzemple, ĝi antaŭe estis proponita atakoj sur DRAM-memoro preterpasante ECC-protekton, kaj ankaŭ montras la eblecon ataki DRAM tra de и rulante JavaScript en la retumilo.
fonto: opennet.ru