ETH Zurich, Vrije Universiteit Amsterdam eta Qualcomm-eko ikertzaile talde batek RowHammer eraso metodo berri bat argitaratu du, DRAM (DRAM) ausazko sarbide dinamikoko memoriaren bit indibidualen edukia alda dezakeena. Erasoari Blacksmith izena jarri zioten eta CVE-2021-42114 gisa identifikatu zen. Lehen ezagutzen diren RowHammer klase metodoen aurkako babesarekin hornitutako DDR4 txip asko arazoa jasan dezakete. Zure sistemak ahultasuna probatzeko tresnak GitHub-en argitaratzen dira.
Gogoratu RowHammer klaseko erasoek memoria-bit indibidualen edukia distortsionatzeko aukera ematen dutela ondoko memoria-zeluletako datuak ziklikoki irakurriz. DRAM memoria bi dimentsioko zelulen multzoa denez, bakoitza kondentsadore batez eta transistorez osatuta dagoenez, memoria-eskualde bereko etengabeko irakurketak egiteak tentsio gorabeherak eta anomaliak sortzen ditu aldameneko zeluletan karga-galera txiki bat eragiten dutenak. Irakurketa intentsitatea handia bada, aldameneko zelulak karga nahiko handia gal dezake eta hurrengo birsorkuntza-zikloak ez du astirik izango jatorrizko egoera berreskuratzeko, eta horrek gelaxkan gordetako datuen balioa aldatzea ekarriko du. .
RowHammer-en aurka babesteko, txip-ekoizleek TRR (Target Row Refresh) mekanismoa proposatu zuten, ondoko errenkadetako zelulen ustelkeriatik babesten duena, baina babesa "iluntasunaren bidezko segurtasuna" printzipioan oinarritzen zenez, ez zuen arazoa konpondu. erroa, baina kasu berezi ezagunetatik soilik babestuta, eta horrek erraztu zuen babesa saihesteko moduak aurkitzea. Esaterako, maiatzean, Google-k Half-Double metodoa proposatu zuen, TRR babesak eraginik ez zuena, erasoak xedearen ondoan ez zeuden zelulak eragin baitzituen.
Blacksmith-en metodo berriak TRR babesa saihesteko beste modu bat eskaintzen du, maiztasun desberdinetan erasotzaile-kate bi edo gehiagotara sarbide ez-uniformean oinarrituta, karga-ihesak eragiteko. Karga-ihesak eragiten dituen memoria-sarbide-eredua zehazteko, txip jakin baterako eraso-parametroak automatikoki hautatzen dituen fuzzer berezi bat garatu da, zelulen sarbidearen ordena, intentsitatea eta sistematikotasuna aldatuz.
Zelula berdinetan eragitearekin lotzen ez den ikuspegi horrek egungo TRR babesteko metodoak eraginkorrak bihurtzen ditu, era batean edo bestean zeluletara errepikatzen diren deiak zenbatzea eta, balio jakin batzuk lortzen direnean, kargatzen hasten direnak. ondoko zelulen. Blacksmith-en, sarbide-eredua hainbat gelaxkatan zabaltzen da aldi berean xedearen alde ezberdinetatik, eta horrek karga-ihesak lor daitezke atalase-balioetara iritsi gabe.
Metodoa TRR saihesteko proposatutako metodoak baino nabarmen eraginkorragoa izan da - ikertzaileek Samsung, Micron, SK Hynix-ek eta fabrikatzaile ezezagun batek egindako duela gutxi erositako 40 DDR4 memoria-txip guztietan bit distortsioa lortzea lortu zuten (fabrikatzailea izan zen). 4 txipetan zehaztu gabe). Konparazio baterako, ikertzaile berberek aldez aurretik proposatutako TRRespass metodoa garai hartan probatutako 13 txipetatik 42rentzat baino ez zen eraginkorra.
Oro har, Blacksmith metodoa merkatuan dauden DRAM txip guztien % 94an aplikatzea espero da, baina ikertzaileek diote txip batzuk zaurgarriagoak eta erasotzeko errazagoak direla beste batzuk baino. Txipetan erroreak zuzentzeko kodeak (ECC) erabiltzeak eta memoriaren freskatze-tasa bikoizteak ez du erabateko babesik ematen, baina funtzionamendua zailtzen du. Nabarmentzekoa da arazoa ezin dela jada kaleratutako txipetan blokeatu eta hardware mailan babes berria ezartzea eskatzen duela, beraz, erasoak urte askotan zehar garrantzitsuak izaten jarraituko du.
Adibide praktikoen artean daude Blacksmith erabiltzeko metodoak memoria-orri-taularen sarreren edukia aldatzeko (PTE, orrialde-taularen sarrera) nukleoaren pribilegioak lortzeko, OpenSSH-n memorian gordetako RSA-2048 gako publikoa hondatzea (gako publikoa ekar dezakezu. beste norbaiten makina birtuala erasotzailearen gako pribatuarekin lotzeko biktimaren VM-ra konektatzeko) eta saihestu kredentzialak egiaztatzea sudo prozesuko memoria aldatuz root pribilegioak lortzeko. Txiparen arabera, 3 segundotik hainbat ordura arteko eraso-denbora behar da xede-bit bat aldatzeko.
Gainera, Antmicro-k Google-rentzat garatu duen RowHammer klaseko erasoen aurkako memoria babesteko metodoak probatzeko LiteX Row Hammer Tester esparru irekia argitaratu dela nabarmendu daiteke. Esparrua FPGA erabiltzean oinarritzen da DRAM txipara zuzenean igorritako komandoak guztiz kontrolatzeko memoria kontrolagailuaren eragina ezabatzeko. Tresna Python-en eskaintzen da FPGArekin elkarreragiteko. FPGAn oinarritutako atebideak datu-paketeen transferentziarako modulu bat (memoria sartzeko ereduak definitzen ditu), Payload Executor bat, LiteDRAM-en oinarritutako kontrolagailu bat (DRAMerako beharrezkoa den logika guztia prozesatzen du, errenkadak aktibatzea eta memoria eguneratzea barne) eta VexRiscv CPU bat. Proiektuaren garapenak Apache 2.0 lizentziapean banatzen dira. Hainbat FPGA plataforma onartzen dira, besteak beste, Lattice ECP5, Xilinx Series 6, 7, UltraScale eta UltraScale+.
Iturria: opennet.ru