Un equipo de investigadores de la Vrije Universiteit Amsterdam, ETH Zurich y Qualcomm estudio de la eficacia de la protección contra ataques de clase utilizados en los chips de memoria DDR4 modernos , lo que le permite cambiar el contenido de bits individuales de la memoria dinámica de acceso aleatorio (DRAM). Los resultados fueron decepcionantes y los chips DDR4 de los principales fabricantes siguen siendo vulnerable ().
La vulnerabilidad RowHammer permite que el contenido de bits de memoria individuales se corrompa al leer cíclicamente datos de celdas de memoria adyacentes. Dado que la memoria DRAM es una matriz bidimensional de celdas, cada una de las cuales consta de un capacitor y un transistor, realizar lecturas continuas de la misma región de la memoria produce fluctuaciones de voltaje y anomalías que causan una pequeña pérdida de carga en las celdas vecinas. Si la intensidad de lectura es lo suficientemente alta, entonces la celda puede perder una cantidad suficientemente grande de carga y el siguiente ciclo de regeneración no tendrá tiempo de restaurar su estado original, lo que conducirá a un cambio en el valor de los datos almacenados en la celda. .
Para bloquear este efecto, los chips DDR4 modernos utilizan la tecnología TRR (Target Row Refresh), diseñada para evitar que las celdas se corrompan durante un ataque RowHammer. El problema es que no existe un enfoque único para implementar TRR y cada fabricante de CPU y memoria interpreta TRR a su manera, aplica sus propias opciones de protección y no revela detalles de implementación.
El estudio de los métodos de bloqueo RowHammer utilizados por los fabricantes facilitó la búsqueda de formas de eludir la protección. Tras la inspección, resultó que el principio practicado por los fabricantes “ (seguridad por oscuridad) al implementar TRR solo ayuda a la protección en casos especiales, cubriendo ataques típicos que manipulan cambios en la carga de las celdas en una o dos filas adyacentes.
La utilidad desarrollada por los investigadores permite comprobar la susceptibilidad de los chips a las variantes multilaterales del ataque RowHammer, en el que se intenta influir en la carga de varias filas de celdas de memoria a la vez. Estos ataques pueden eludir la protección TRR implementada por algunos fabricantes y provocar daños en los bits de memoria, incluso en hardware nuevo con memoria DDR4.
De los 42 DIMM estudiados, 13 módulos resultaron ser vulnerables a variantes no estándar del ataque RowHammer, a pesar de la protección declarada. Los módulos problemáticos fueron producidos por SK Hynix, Micron y Samsung, cuyos productos 95% del mercado de DRAM.
Además de DDR4, también se estudiaron los chips LPDDR4 utilizados en dispositivos móviles, que también resultaron ser sensibles a variantes avanzadas del ataque RowHammer. En particular, la memoria utilizada en los smartphones Google Pixel, Google Pixel 3, LG G7, OnePlus 7 y Samsung Galaxy S10 se vio afectada por el problema.
Los investigadores pudieron reproducir varias técnicas de explotación en chips DDR4 problemáticos. Por ejemplo, usando RowHammer- para PTE (entradas de tabla de páginas), tomó de 2.3 segundos a tres horas y quince segundos obtener el privilegio del kernel, dependiendo de los chips probados. en caso de daños a la clave pública almacenada en la memoria, RSA-2048 tardó de 74.6 segundos a 39 minutos 28 segundos. se necesitaron 54 minutos y 16 segundos para omitir la verificación de credenciales mediante la modificación de la memoria del proceso sudo.
Se publica una utilidad para comprobar los chips de memoria DDR4 utilizados por los usuarios . Para llevar a cabo un ataque con éxito, se requiere información sobre la disposición de las direcciones físicas utilizadas en el controlador de memoria en relación con los bancos y filas de celdas de memoria. Además, se ha desarrollado una utilidad para determinar el diseño. , que requiere ejecutarse como root. En un futuro próximo también publicar una aplicación para probar la memoria del teléfono inteligente.
Las empresas и Para protección, recomendaron utilizar memoria de corrección de errores (ECC), controladores de memoria con soporte para recuento máximo de activación (MAC) y utilizar una mayor frecuencia de actualización. Los investigadores creen que para los chips ya lanzados no existe una solución para una protección garantizada contra Rowhammer, y el uso de ECC y el aumento de la frecuencia de regeneración de la memoria resultaron ineficaces. Por ejemplo, anteriormente se propuso ataques a la memoria DRAM sin pasar por la protección ECC, y también muestra la posibilidad de atacar la DRAM a través de , et и ejecutando JavaScript en el navegador.
Fuente: opennet.ru