E Team vu Fuerscher vun der ETH Zürich, der Vrije Universiteit Amsterdam a Qualcomm hunn eng nei RowHammer Attackmethod publizéiert, déi den Inhalt vun eenzelne Bits vun dynamesche Random Access Memory (DRAM) änneren kann. D'Attack gouf Codenumm Blacksmith an identifizéiert als CVE-2021-42114. Vill DDR4 Chips equipéiert mat Schutz géint virdrun bekannt RowHammer Klass Methoden sinn ufälleg fir de Problem. Tools fir Är Systemer fir Schwachstelle ze testen ginn op GitHub publizéiert.
Erënneren, datt RowHammer Klass Attacken erlaben Iech den Inhalt vun eenzelne Erënnerung Bits ze verzerren duerch cyclically liesen Daten aus Nopeschlänner Erënnerung Zellen. Zënter DRAM Erënnerung ass eng zweedimensional Array vun Zellen, déi all aus engem Kondensator an engem Transistor besteet, déi kontinuéierlech Liesungen vun der selwechter Erënnerungsregioun ausféieren, resultéiert zu Spannungsschwankungen an Anomalien, déi e klenge Verloscht vun der Ladung an de Nopeschzellen verursaachen. Wann d'Liesintensitéit héich ass, da kann d'Nopeschzell eng genuch grouss Betrag vun der Ladung verléieren an den nächste Regeneratiounszyklus huet keng Zäit fir säin ursprénglechen Zoustand ze restauréieren, wat zu enger Verännerung vum Wäert vun den Daten an der Zell gespäichert gëtt. .
Fir géint RowHammer ze schützen, hunn Chiphersteller den TRR (Target Row Refresh) Mechanismus virgeschloen, deen géint Korruptioun vun Zellen an benachbarte Reihen schützt, awer well de Schutz baséiert op dem Prinzip vun "Sécherheet duerch Obscuritéit", huet et de Problem net geléist. d'Wurzel, awer nëmme vu bekannte spezielle Fäll geschützt, wat et einfach gemaach huet, Weeër ze fannen fir de Schutz ze vermeiden. Zum Beispill, am Mee huet Google d'Half-Double Method proposéiert, déi net vum TRR-Schutz beaflosst gouf, well d'Attack Zellen betrëfft, déi net direkt niewent dem Zil waren.
Blacksmith senger neier Method bitt en anere Wee fir den TRR-Schutz ëmzegoen, baséiert op net-uniformen Zougang zu zwee oder méi Aggressorstringen op verschiddene Frequenzen fir Ladungsleckage ze verursaachen. Fir d'Erënnerung Zougangsmuster ze bestëmmen, déi zu Ladeauslafe féiert, gouf e spezielle Fuzzer entwéckelt, deen automatesch Attackparameter fir e spezifesche Chip auswielt, d'Uerdnung, d'Intensitéit an d'Systematizitéit vum Zellzougang variéieren.
Esou eng Approche, déi net mat der Afloss vun der selwechter Zellen assoziéiert ass, mécht déi aktuell TRR Schutzmethoden net effikass, déi an enger oder anerer Form op d'Zuel vun de widderhollen Uruff un d'Zellen zielen an, wann bestëmmte Wäerter erreecht ginn, d'Opluedung initiéieren vun Nopeschzellen. Am Blacksmith ass den Zougangsmuster iwwer e puer Zellen gläichzäiteg vu verschiddene Säiten vum Zil verbreet, wat et méiglech mécht Ladungsleckage z'erreechen ouni Schwellwäerter z'erreechen.
D'Method huet sech wesentlech méi effektiv erausgestallt wéi virdru proposéiert Methoden fir TRR ëmzegoen - d'Fuerscher hunn et fäerdeg bruecht Bit Verzerrung an all 40 kierzlech kaaft verschidden DDR4 Memory Chips vun Samsung, Micron, SK Hynix an engem onbekannten Hiersteller ze erreechen (den Hiersteller war net uginn op 4 Chips). Zum Verglach, d'TRRespass Method, déi virdru vun de selwechte Fuerscher proposéiert gouf, war effektiv fir nëmmen 13 vun 42 Chips déi zu där Zäit getest goufen.
Am Allgemengen gëtt d'Blacksmith Method erwaart fir 94% vun allen DRAM Chips um Maart ze gëllen, awer d'Fuerscher soen datt verschidde Chips méi vulnérabel sinn a méi einfach ze attackéieren wéi anerer. D'Benotzung vu Fehlerkorrekturcoden (ECC) a Chips an d'Verdueblung vun der Erënnerungsfrëschungsrate gëtt net komplette Schutz, awer komplizéiert d'Operatioun. Et ass bemierkenswäert datt de Problem net a scho verëffentlechte Chips blockéiert ka ginn an d'Ëmsetzung vun engem neie Schutz um Hardwareniveau erfuerdert, sou datt den Attack fir vill Jore relevant bleift.
Praktesch Beispiller enthalen Methoden fir Blacksmith ze benotzen fir den Inhalt vun den Entréen an der Memory Page Table (PTE, Page Table Entry) z'änneren fir Kernel Privilegien ze kréien, korruptéiert den RSA-2048 ëffentleche Schlëssel, deen an der Erënnerung an OpenSSH gespäichert ass (Dir kënnt den ëffentleche Schlëssel matbréngen een aneren seng virtuell Maschinn fir dem Ugräifer säi private Schlëssel ze passen fir mat dem VM vum Affer ze verbannen) an d'Umeldungsinformatioun iwwerpréiwen andeems d'Erënnerung vum Sudo-Prozess geännert gëtt fir Root Privilegien ze kréien. Ofhängeg vum Chip dauert et iwwerall vun 3 Sekonnen op e puer Stonnen Attackzäit fir een Zilbit z'änneren.
Zousätzlech kënne mir d'Publikatioun vum oppene LiteX Row Hammer Tester Kader notéieren fir Erënnerungsschutzmethoden géint RowHammer Klassattacken ze testen, entwéckelt vun Antmicro fir Google. De Kader baséiert op der Benotzung vu FPGA fir d'Kommandoen, déi direkt op den DRAM-Chip iwwerdroe ginn, voll ze kontrolléieren fir den Afloss vum Memory Controller ze eliminéieren. Toolkit am Python gëtt fir Interaktioun mat FPGA ugebueden. De FPGA-baséiert Paart enthält e Modul fir Paketdatentransfer (definéiert Erënnerungszougangsmuster), e Payload Executor, e LiteDRAM-baséiert Controller (veraarbecht all Logik déi fir DRAM erfuerderlech ass, inklusiv Zeilaktivéierung an Erënnerungsaktualiséierung) an e VexRiscv CPU. D'Entwécklunge vum Projet ginn ënner der Apache 2.0 Lizenz verdeelt. Verschidde FPGA Plattformen ginn ënnerstëtzt, dorënner Lattice ECP5, Xilinx Series 6, 7, UltraScale an UltraScale+.
Source: opennet.ru