Tîmek lêkolînerên ji ETH Zurich, Vrije Universiteit Amsterdam û Qualcomm rêbazek êrîşa RowHammer-ê ya nû weşandin ku dikare naverokên ferdî yên bîranîna gihîştina rasthatî ya dînamîkî (DRAM) biguhezîne. Êrîş bi kodnavê Blacksmith bû û wekî CVE-2021-42114 hate nas kirin. Gelek çîpên DDR4 yên ku bi parastinê ve li dijî rêbazên pola RowHammer-ê yên berê hatine nas kirin, ji pirsgirêkê re gumanbar in. Amûrên ji bo ceribandina pergalên we ji bo qelsbûnê li ser GitHub têne weşandin.
Bînin bîra xwe ku êrişên pola RowHammer dihêle hûn bi xwendina çerxîkî daneya ji şaneyên bîranîna cîran ve naveroka bîtkên bîranîna kesane berevajî bikin. Ji ber ku bîra DRAM komek hucreyên du-alî ye, ku her yek ji kondensator û transîstorek pêk tê, xwendina domdar a heman devera bîranînê dibe sedema guheztinên voltajê û anomalî ku dibe sedema windabûna piçûk a barkirinê di şaneyên cîran de. Ger tundiya xwendinê zêde be, wê hingê dibe ku hucreya cîran barek têra xwe zêde winda bike û çerxa nûvekirina din dê dem tune ku rewşa xweya orîjînal vegerîne, ku dê bibe sedema guhertina nirxa daneya ku di hucreyê de hatî hilanîn. .
Ji bo parastina li hember RowHammer, çêkerên çîpê mekanîzmaya TRR (Rêza Target Refresh) pêşniyar kirin, ku li hember gendeliya hucreyên rêzên cîran diparêze, lê ji ber ku parastin li ser prensîba "ewlehî ji hêla nezelaliyê ve" bû, ew pirsgirêk çareser nekir. root, lê tenê ji rewşên taybetî yên naskirî têne parastin, ku ev yek hêsan kir ku meriv rêyên derbaskirina parastinê bibîne. Mînakî, di Gulanê de, Google rêbaza Half-Double pêşniyar kir, ku ji hêla parastina TRR ve nehate bandor kirin, ji ber ku êrîş bandor li hucreyên ku rasterast li tenişta armancê ne kir.
Rêbaza nû ya Blacksmith rêgezek cûda pêşkêşî dike ji bo derbaskirina parastina TRR, li ser bingeha gihîştina neyeksanî ya du an jî zêdetir têlên êrîşkar ên li frekansên cihêreng da ku bibe sedema rijandina barkirinê. Ji bo destnîşankirina şêwaza gihîştina bîranînê ya ku dibe sedema rijandina barkirinê, fuzzerek taybetî hate pêşve xistin ku bixweber pîvanên êrîşê ji bo çîpek taybetî hildibijêre, rêzik, tundî û sîstematîkî ya gihîştina hucreyê diguhezîne.
Nêzîkatiyek wusa, ku ne bi bandorkirina heman hucreyan re têkildar e, rêbazên parastina TRR-ê yên heyî bêbandor dike, ku bi rengekî an yekî din bi jimartina hejmara bangên dubare ji hucreyan re vedigere û, gava ku hin nirx têne gihîştin, dest bi barkirinê dike. şaneyên cîran. Di Blacksmith de, şêwaza gihîştinê bi yekcarî li çend hucreyan ji aliyên cihêreng ên armancê ve tê belav kirin, ku ev yek gengaz dike ku meriv lehiya barkirinê bigihîje bêyî ku bigihîje nirxên sînor.
Rêbaz derket ku ji rêbazên berê yên pêşniyarkirî yên ji bo derbaskirina TRR-ê pir bi bandortir e - lêkolîneran karîbûn di hemî 40 çîpên bîranîna DDR4 yên ku di van demên dawî de hatine kirîn ku ji hêla Samsung, Micron, SK Hynix û hilberînerek nenas ve hatine çêkirin de, bitiqbûna bitekê bi dest bixin. li ser 4 çîpên ne diyar). Ji bo berhevdanê, rêbaza TRRespass ku berê ji hêla heman lêkolîneran ve hatî pêşniyar kirin tenê ji bo 13 ji 42 çîpên ku di wê demê de hatine ceribandin bandor bû.
Bi gelemperî, rêbaza Blacksmith tê çaverê kirin ku ji% 94-ê hemî çîpên DRAM-ê yên li ser sûkê were sepandin, lê lêkolîner dibêjin ku hin çîp ji yên din xeternaktir û hêsantir in ku êrîş bikin. Bikaranîna kodên rastkirina xeletiyê (ECC) di çîpê de û ducarkirina rêjeya nûvekirina bîranînê parastina bêkêmasî peyda nake, lê operasyonê tevlihev dike. Hêjayî gotinê ye ku pirsgirêk di çîpên ku berê hatine berdan de nayê asteng kirin û pêdivî ye ku parastina nû di asta hardware de were bicîh kirin, ji ber vê yekê êrîş dê gelek salan têkildar bimîne.
Mînakên pratîkî rêbazên karanîna Blacksmith-ê ji bo guheztina naveroka navnîşan di tabloya rûpela bîranînê de (PTE, têketina tabloya rûpelê) ji bo bidestxistina mafên kernelê, xerakirina mifteya giştî ya RSA-2048 ku di bîra OpenSSH-ê de hatî hilanîn (hûn dikarin mifteya giştî bînin makîneya virtual ya kesek din da ku bi mifteya taybet a êrîşkar re têkildar be da ku bi VM-ya mexdûr ve girêbide) û bi guheztina bîranîna pêvajoya sudo ve kontrolkirina pêbaweriyê derbas bike da ku îmtiyazên root bistîne. Bi çîpê ve girêdayî, ji 3 çirkeyan heya çend demjimêran dema êrîşê digire ku meriv bitek armancê biguhezîne.
Wekî din, em dikarin weşandina çarçoweya vekirî ya LiteX Row Hammer Tester ji bo ceribandina rêbazên parastina bîranînê li dijî êrîşên pola RowHammer, ku ji hêla Antmicro ji bo Google ve hatî pêşve xistin, destnîşan bikin. Çarçove li ser bingeha karanîna FPGA-yê ye ku bi tevahî fermanên ku rasterast ji çîpa DRAM-ê re têne veguheztin kontrol bike da ku bandora kontrolkerê bîranînê ji holê rake. Toolkit di Python de ji bo danûstendina bi FPGA re tê pêşkêş kirin. Deriyê bingehîn-FPGA modulek ji bo veguheztina daneya pakêtê vedihewîne (şablonên gihîştina bîranînê diyar dike), Rêvebirek Payload, Kontrolkerek LiteDRAM-ê (hemû mantiqa ku ji bo DRAM-ê hewce dike, di nav de aktîvkirina rêzê û nûvekirina bîranînê jî dihewîne) û CPU VexRiscv. Pêşveçûnên projeyê di bin lîsansa Apache 2.0 de têne belav kirin. Platformên cihêreng ên FPGA têne piştgirî kirin, di nav de Lattice ECP5, Xilinx Series 6, 7, UltraScale û UltraScale+.
Source: opennet.ru