In team fan ûndersikers fan ETH Zurich, Vrije Universiteit Amsterdam en Qualcomm hawwe in nije RowHammer-oanfalmetoade publisearre dy't de ynhâld fan yndividuele bits fan dynamysk willekeurige tagongsûnthâld (DRAM) feroarje kin. De oanfal waard koadenamme Blacksmith en identifisearre as CVE-2021-42114. In protte DDR4 chips útrist mei beskerming tsjin earder bekende RowHammer klasse metoaden binne gefoelich foar it probleem. Ark foar it testen fan jo systemen foar kwetsberens wurde publisearre op GitHub.
Tink derom dat oanfallen fan RowHammer-klasse jo de ynhâld fan yndividuele ûnthâldbits kinne ferdraaie troch gegevens fan oanbuorjende ûnthâldsellen syklik te lêzen. Sûnt DRAM ûnthâld is in twadiminsjonale array fan sellen, elk besteande út in capacitor en in transistor, performing trochgeande lêzen fan deselde ûnthâld regio resultearret yn spanning fluktuaasjes en anomalies dy't feroarsaakje in lyts ferlies fan lading yn oanbuorjende sellen. As de lêsintensiteit heech is, dan kin de oanbuorjende sel in foldwaande grut bedrach fan lading ferlieze en de folgjende regeneraasjesyklus sil gjin tiid hawwe om syn oarspronklike steat te herstellen, wat sil liede ta in feroaring yn 'e wearde fan' e gegevens opslein yn 'e sel .
Om te beskermjen tsjin RowHammer, stelden chipfabrikanten it TRR (Target Row Refresh) meganisme foar, dat beskermet tsjin korrupsje fan sellen yn neistlizzende rigen, mar om't de beskerming basearre wie op it prinsipe fan "feiligens troch obscurity", hat it it probleem net oplost by de woartel, mar beskerme allinnich út bekende bysûndere gefallen, dy't makke it maklik te finen manieren te omgean de beskerming. Bygelyks, yn maaie stelde Google de Half-Double-metoade foar, dy't net beynfloede waard troch TRR-beskerming, om't de oanfal sellen beynfloede dy't net direkt neist it doel wiene.
De nije metoade fan Blacksmith biedt in oare manier om TRR-beskerming te omgean, basearre op net-unifoarme tagong ta twa of mear agressorsnaren op ferskate frekwinsjes om ladinglekkage te feroarsaakjen. Foar it bepalen fan it ûnthâld tagong patroan dat liedt ta lading leakage, in spesjale fuzzer is ûntwikkele dy't automatysk selektearret oanfal parameters foar in spesifike chip, fariearjend fan de folchoarder, yntinsiteit en systematisme fan sel tagong.
Sa'n oanpak, dy't net assosjearre is mei it beynfloedzjen fan deselde sellen, makket hjoeddeistige TRR-beskermingsmetoaden net effektyf, dy't yn ien of oare foarm ôfkomme op it tellen fan it oantal werhelle oproppen nei sellen en, as bepaalde wearden wurde berikt, it opladen begjinnen fan oanbuorjende sellen. Yn Blacksmith wurdt de tagong patroan ferspraat oer ferskate sellen tagelyk út ferskillende kanten fan it doel, dat makket it mooglik om te berikken lading leakage sûnder berikken drompelwearden.
De metoade die bliken signifikant effektiver te wêzen as earder foarstelde metoaden foar it omgean fan TRR - de ûndersikers wisten bitferfoarming te berikken yn alle 40 koartlyn kochte ferskillende DDR4-ûnthâldchips makke troch Samsung, Micron, SK Hynix en in ûnbekende fabrikant (de fabrikant wie net oantsjutte op 4 chips). Foar fergeliking wie de TRRespass-metoade earder foarsteld troch deselde ûndersikers effektyf foar allinich 13 fan 'e 42 chips dy't op dat stuit testen.
Yn 't algemien wurdt ferwachte dat de Blacksmith-metoade tapast wurdt op 94% fan alle DRAM-chips op' e merke, mar de ûndersikers sizze dat guon chips kwetsberer binne en makliker oan te fallen as oaren. It gebrûk fan flaterkorreksje koades (ECC) yn chips en ferdûbeling fan it ûnthâld ferfarskingsfrekwinsje jout gjin folsleine beskerming, mar komplisearret operaasje. It is opmerklik dat it probleem kin net blokkearre wurde yn al frijjûn chips en fereasket de ymplemintaasje fan nije beskerming op de hardware nivo, sadat de oanfal sil bliuwe relevant foar in protte jierren.
Praktyske foarbylden omfetsje metoaden foar it brûken fan Blacksmith om de ynhâld fan yngongen yn 'e geheugensidetabel te feroarjen (PTE, sidetabelyngong) om kernelprivileges te krijen, de RSA-2048 iepenbiere kaai beskeadige opslein yn it ûnthâld yn OpenSSH (jo kinne de publike kaai yn bringe de firtuele masine fan in oar om oerien te kommen mei de priveekaai fan 'e oanfaller om te ferbinen mei de VM fan it slachtoffer) en de bewiisbrieven omgean troch it ûnthâld fan it sudo-proses te feroarjen om root-privileges te krijen. Ofhinklik fan 'e chip duorret it oeral fan 3 sekonden oant ferskate oeren oanfaltiid om ien doelbit te feroarjen.
Derneist kinne wy opmerke dat de publikaasje fan it iepen LiteX Row Hammer Tester-ramt foar it testen fan metoaden foar ûnthâldbeskerming tsjin oanfallen fan RowHammer-klasse, ûntwikkele troch Antmicro foar Google. It ramt is basearre op it gebrûk fan FPGA om de kommando's dy't direkt nei de DRAM-chip oerbrocht wurde folslein te kontrolearjen om de ynfloed fan 'e ûnthâldkontrôler te eliminearjen. Toolkit yn Python wurdt oanbean foar ynteraksje mei FPGA. De FPGA-basearre poarte omfettet in module foar oerdracht fan pakketgegevens (beskriuwt patroanen foar ûnthâld tagong), in Payload Executor, in LiteDRAM-basearre controller (ferwurket alle logika nedich foar DRAM, ynklusyf rige aktivearring en ûnthâld bywurking) en in VexRiscv CPU. De ûntwikkelingen fan it projekt wurde ferspraat ûnder de Apache 2.0-lisinsje. Ferskate FPGA-platfoarms wurde stipe, ynklusyf Lattice ECP5, Xilinx Series 6, 7, UltraScale en UltraScale +.
Boarne: opennet.ru