Tutkijaryhmä Vrije Universiteit Amsterdamista, ETH Zürichistä ja Qualcommista tutkimus nykyaikaisissa DDR4-muistisiruissa käytetyn luokkahyökkäyksiltä suojauksen tehokkuudesta , jonka avulla voit muuttaa dynaamisen hajasaantimuistin (DRAM) yksittäisten bittien sisältöä. Tulokset olivat pettymys, ja suurten valmistajien DDR4-sirut ovat edelleen haavoittuva ().
RowHammer-haavoittuvuus mahdollistaa yksittäisten muistibittien sisällön vioittumisen lukemalla syklisesti tietoja viereisistä muistisoluista. Koska DRAM-muisti on kaksiulotteinen joukko soluja, joista kukin koostuu kondensaattorista ja transistorista, saman muistialueen jatkuva lukeminen johtaa jännitteen vaihteluihin ja poikkeamiin, jotka aiheuttavat pienen latauksen menetyksen naapurisoluissa. Jos lukuintensiteetti on riittävän korkea, solu voi menettää riittävän suuren määrän varausta ja seuraavalla regenerointijaksolla ei ole aikaa palauttaa alkuperäistä tilaansa, mikä johtaa soluun tallennetun tiedon arvon muutokseen. .
Tämän vaikutuksen estämiseksi nykyaikaiset DDR4-sirut käyttävät TRR (Target Row Refresh) -tekniikkaa, joka on suunniteltu estämään solujen vioittuminen RowHammer-hyökkäyksen aikana. Ongelmana on, että TRR:n toteuttamiseen ei ole yhtä lähestymistapaa ja jokainen CPU- ja muistivalmistaja tulkitsee TRR:n omalla tavallaan, soveltaa omia suojausvaihtoehtojaan eikä paljasta toteutustietoja.
Valmistajien käyttämiä RowHammer-estomenetelmiä tutkimalla oli helppo löytää tapoja suojauksen ohittamiseksi. Tarkastuksessa kävi ilmi, että valmistajien noudattama periaate " (security by obscurity) TRR:n toteutuksessa auttaa suojaamaan vain erikoistapauksissa, kattamaan tyypilliset hyökkäykset, jotka manipuloivat yhden tai kahden vierekkäisen rivin solujen varauksen muutoksia.
Tutkijoiden kehittämä apuohjelma mahdollistaa sirujen herkkyyden tarkistamisen RowHammer-hyökkäyksen monenvälisille muunnelmille, joissa varaukseen yritetään vaikuttaa usealle muistisoluriville kerralla. Tällaiset hyökkäykset voivat ohittaa joidenkin valmistajien toteuttaman TRR-suojauksen ja johtaa muistibittien vioittumiseen jopa uusissa DDR4-muistilla varustetuissa laitteissa.
Tutkituista 42 DIMM-moduulista 13 moduulia osoittautui alttiiksi RowHammer-hyökkäyksen ei-standardiversioille ilmoitetusta suojauksesta huolimatta. Ongelmalliset moduulit valmistivat SK Hynix, Micron ja Samsung, joiden tuotteet 95 % DRAM-markkinoista.
DDR4:n lisäksi tutkittiin myös mobiililaitteissa käytettyjä LPDDR4-siruja, jotka myös osoittautuivat herkiksi RowHammer-hyökkäyksen edistyneille varianteille. Ongelma vaikutti erityisesti Google Pixel-, Google Pixel 3-, LG G7-, OnePlus 7- ja Samsung Galaxy S10 -älypuhelimissa käytettyyn muistiin.
Tutkijat pystyivät toistamaan useita hyödyntämistekniikoita ongelmallisilla DDR4-siruilla. Esimerkiksi käyttämällä RowHammer- PTE:lle (Page Table Entries) kesti 2.3 sekunnista kolmeen tuntiin ja XNUMX sekuntiin ytimen oikeuksien saaminen testatuista siruista riippuen. muistiin tallennetun julkisen avaimen vaurioitumisen vuoksi RSA-2048 kesti 74.6 sekunnista 39 minuutista 28 sekuntiin. kesti 54 minuuttia ja 16 sekuntia valtuustietojen tarkistuksen ohittaminen sudo-prosessin muistin muokkauksen kautta.
Käyttäjien käyttämien DDR4-muistipiirien tarkistamiseksi on julkaistu apuohjelma . Hyökkäyksen onnistuneeseen suorittamiseen tarvitaan tietoa muistiohjaimessa käytettyjen fyysisten osoitteiden asettelusta suhteessa pankkiin ja muistisoluriviin. Lisäksi on kehitetty apuohjelma asettelun määrittämiseksi , joka vaatii ajamisen pääkäyttäjänä. Lähitulevaisuudessa myös julkaista sovellus älypuhelimen muistin testaamiseen.
yhtiö и Suojauksen vuoksi he neuvoivat käyttämään virheenkorjausmuistia (ECC), muistiohjaimia, joissa on Maximum Activate Count (MAC) -tuki, ja käyttämään korotettua virkistystaajuutta. Tutkijat uskovat, että jo julkaistuille siruille ei ole taattua suojaa Rowhammeria vastaan, ja ECC:n käyttö ja muistin uudelleenmuodostuksen taajuuden lisääminen osoittautuivat tehottomiksi. Esimerkiksi sitä ehdotettiin aiemmin hyökkäyksiä DRAM-muistiin ohittaen ECC-suojauksen ja näyttää myös mahdollisuuden hyökätä DRAM-muistiin , alkaen и JavaScriptin käyttäminen selaimessa.
Lähde: opennet.ru