Un team di ricercatori della Vrije Universiteit Amsterdam, dell'ETH di Zurigo e di Qualcomm studio dell'efficacia della protezione contro gli attacchi di classe utilizzati nei moderni chip di memoria DDR4 , che consente di modificare il contenuto di singoli bit di memoria ad accesso casuale dinamico (DRAM). I risultati sono stati deludenti e i chip DDR4 dei principali produttori lo sono ancora vulnerabile ().
La vulnerabilità RowHammer consente di danneggiare il contenuto dei singoli bit di memoria leggendo ciclicamente i dati da celle di memoria adiacenti. Poiché la memoria DRAM è una matrice bidimensionale di celle, ciascuna composta da un condensatore e un transistor, l'esecuzione di letture continue della stessa regione di memoria provoca fluttuazioni di tensione e anomalie che causano una piccola perdita di carica nelle celle vicine. Se l'intensità di lettura è sufficientemente elevata, la cella potrebbe perdere una quantità di carica sufficientemente grande e il successivo ciclo di rigenerazione non avrà il tempo di ripristinare il suo stato originale, il che porterà a un cambiamento nel valore dei dati memorizzati nella cella .
Per bloccare questo effetto, i moderni chip DDR4 utilizzano la tecnologia TRR (Target Row Refresh), progettata per impedire che le celle vengano danneggiate durante un attacco RowHammer. Il problema è che non esiste un approccio unico per implementare TRR e ogni produttore di CPU e memoria interpreta TRR a modo suo, applica le proprie opzioni di protezione e non rivela i dettagli di implementazione.
Lo studio dei metodi di blocco RowHammer utilizzati dai produttori ha reso facile trovare modi per aggirare la protezione. Dopo l’ispezione, si è scoperto che il principio praticato dai produttori “ (security by obscurity) quando si implementa TRR aiuta solo per la protezione in casi speciali, coprendo attacchi tipici che manipolano i cambiamenti nella carica delle celle in una o due file adiacenti.
L'utilità sviluppata dai ricercatori consente di verificare la suscettibilità dei chip alle varianti multilaterali dell'attacco RowHammer, in cui si tenta di influenzare la carica di più file di celle di memoria contemporaneamente. Tali attacchi possono aggirare la protezione TRR implementata da alcuni produttori e portare alla corruzione dei bit di memoria, anche su nuovo hardware con memoria DDR4.
Dei 42 DIMM studiati, 13 si sono rivelati vulnerabili alle varianti non standard dell'attacco RowHammer, nonostante la protezione dichiarata. I moduli problematici sono stati prodotti da SK Hynix, Micron e Samsung, i cui prodotti 95% del mercato delle DRAM.
Oltre ai DDR4 sono stati studiati anche i chip LPDDR4 utilizzati nei dispositivi mobili, che si sono rivelati sensibili anche alle varianti avanzate dell'attacco RowHammer. In particolare, il problema ha interessato la memoria utilizzata negli smartphone Google Pixel, Google Pixel 3, LG G7, OnePlus 7 e Samsung Galaxy S10.
I ricercatori sono riusciti a riprodurre diverse tecniche di sfruttamento sui chip DDR4 problematici. Ad esempio, utilizzando RowHammer- per PTE (Page Table Entries) ci sono voluti da 2.3 secondi a tre ore e quindici secondi per ottenere i privilegi del kernel, a seconda dei chip testati. per danni alla chiave pubblica archiviata in memoria, RSA-2048 ha impiegato da 74.6 secondi a 39 minuti e 28 secondi. ci sono voluti 54 minuti e 16 secondi per bypassare il controllo delle credenziali tramite la modifica della memoria del processo sudo.
È stata pubblicata un'utilità per controllare i chip di memoria DDR4 utilizzati dagli utenti . Per effettuare con successo un attacco, sono necessarie informazioni sulla disposizione degli indirizzi fisici utilizzati nel controller di memoria in relazione ai banchi e alle righe di celle di memoria. È stata inoltre sviluppata un'utilità per determinare il layout , che richiede l'esecuzione come root. Anche nel prossimo futuro pubblicare un'applicazione per testare la memoria dello smartphone.
società и Per protezione, hanno consigliato di utilizzare la memoria di correzione degli errori (ECC), controller di memoria con supporto MAC (Maximum Activate Count) e utilizzare una frequenza di aggiornamento maggiore. I ricercatori ritengono che per i chip già rilasciati non esista una soluzione per una protezione garantita contro Rowhammer e che l'uso dell'ECC e l'aumento della frequenza di rigenerazione della memoria si siano rivelati inefficaci. Ad esempio, è stato proposto in precedenza attacca la memoria DRAM aggirando la protezione ECC e mostra anche la possibilità di attaccare la DRAM attraverso , et и eseguendo JavaScript nel browser.
Fonte: opennet.ru