Vrije Universiteit Amsterdami, ETH Zürichi ja Qualcommi teadlaste meeskond kaasaegsetes DDR4 mälukiipides kasutatava klassirünnakute vastase kaitse tõhususe uurimine , mis võimaldab teil muuta dünaamilise muutmälu (DRAM) üksikute bittide sisu. Tulemused valmistasid pettumuse ja suuremate tootjate DDR4 kiibid on endiselt haavatav ().
RowHammeri haavatavus võimaldab üksikute mälubittide sisu rikkuda, lugedes tsükliliselt andmeid naabermälurakkudest. Kuna DRAM-mälu on kahemõõtmeline rakkude massiiv, millest igaüks koosneb kondensaatorist ja transistorist, põhjustab sama mälupiirkonna pidev lugemine pingekõikumisi ja anomaaliaid, mis põhjustavad naaberrakkudes väikese laengu kadu. Kui lugemise intensiivsus on piisavalt kõrge, võib rakk kaotada piisavalt suure laengu ja järgmisel regenereerimistsüklil pole aega oma esialgset olekut taastada, mis toob kaasa lahtrisse salvestatud andmete väärtuse muutumise. .
Selle efekti blokeerimiseks kasutavad kaasaegsed DDR4 kiibid TRR-i (Target Row Refresh) tehnoloogiat, mis on loodud selleks, et vältida rakkude rikkumist RowHammeri rünnaku ajal. Probleem on selles, et TRR-i juurutamisel puudub ühtne lähenemine ning iga protsessori- ja mälutootja tõlgendab TRR-i omal moel, rakendab oma kaitsevõimalusi ega avalda juurutamise üksikasju.
Tootjate kasutatavate RowHammeri blokeerimismeetodite uurimine muutis kaitsest mööda hiilimise viiside leidmise lihtsaks. Kontrollimisel selgus, et tootjate põhimõte " (security by obscurity) aitab TRR-i rakendamisel kaitseks vaid erijuhtudel, hõlmates tüüpilisi rünnakuid, mis manipuleerivad ühe või kahe kõrvuti asetsevate rakkude laengu muutustega.
Teadlaste välja töötatud utiliit võimaldab kontrollida kiipide vastuvõtlikkust RowHammeri rünnaku mitmepoolsetele variantidele, mille puhul üritatakse laengut mõjutada mitme mälurakkude rea jaoks korraga. Sellised rünnakud võivad mööda minna mõne tootja rakendatud TRR-kaitsest ja põhjustada mälu bittide rikkumist isegi uuel DDR4-mäluga riistvaral.
42 uuritud DIMM-ist osutus 13 moodulit RowHammeri rünnaku mittestandardsete variantide suhtes haavatavaks, hoolimata deklareeritud kaitsest. Probleemseid mooduleid tootsid SK Hynix, Micron ja Samsung, kelle tooteid 95% DRAM-i turust.
Lisaks DDR4-le uuriti ka mobiilseadmetes kasutatavaid LPDDR4 kiipe, mis samuti osutusid tundlikuks RowHammeri rünnaku täiustatud variantide suhtes. Eelkõige mõjutas probleem nutitelefonides Google Pixel, Google Pixel 3, LG G7, OnePlus 7 ja Samsung Galaxy S10 kasutatud mälu.
Teadlased suutsid probleemsetel DDR4 kiipidel reprodutseerida mitmeid ekspluateerimistehnikaid. Näiteks kasutades RowHammer- PTE (Page Table Entries) puhul kulus tuuma privileegi saamiseks 2.3 sekundist kolme tunnini ja viisteist sekundit, olenevalt testitud kiipidest. mällu salvestatud avaliku võtme kahjustamiseks kulus RSA-2048 74.6 sekundist 39 minutist 28 sekundini. mandaatide kontrollist möödumiseks sudo protsessi mälu muutmise kaudu kulus 54 minutit ja 16 sekundit.
Kasutajate kasutatavate DDR4-mälukiipide kontrollimiseks on avaldatud utiliit . Rünnaku edukaks läbiviimiseks on vaja teavet mälukontrolleris kasutatavate füüsiliste aadresside paigutuse kohta seoses pankade ja mälurakkude ridadega. Paigutuse määramiseks on lisaks välja töötatud utiliit , mis nõuab juurkasutamisega töötamist. Lähiajal ka avaldada rakendus nutitelefoni mälu testimiseks.
Ettevõtted и Kaitseks soovitasid nad kasutada veaparandusmälu (ECC), maksimaalse aktiveerimisloendi (MAC) toega mälukontrollereid ja kasutada suurendatud värskendussagedust. Teadlased usuvad, et juba välja antud kiipide puhul pole Rowhammeri vastu garanteeritud kaitseks lahendust ning ECC kasutamine ja mälu taastamise sageduse suurendamine osutus ebaefektiivseks. Näiteks pakuti seda varem välja rünnakud DRAM-mälu vastu, möödudes ECC kaitsest, ja näitab ka võimalust DRAM-i kaudu rünnata , alates и brauseris JavaScripti käivitamine.
Allikas: opennet.ru