Fuerscher vun der ETH Zürich hunn den ZenHammer Attack entwéckelt, eng Variant vun der RowHammer Klass vun Attacken fir den Inhalt vun eenzelne Bits vun dynamesche Random Access Memory (DRAM) z'änneren, adaptéiert fir op Plattformen mat AMD Prozessoren ze benotzen. Vergaangenheet RowHammer Attacke goufen limitéiert op Systemer baséiert op Intel Prozessoren, mee Fuerschung huet gewisen, datt Erënnerung Korruptioun och op Plattformen mat AMD Erënnerung Controller erreecht ginn.
D'Method gouf op AMD Zen 2 an Zen 3 Systemer mat DDR4 Memory vun dräi führend Hiersteller (Samsung, Micron a SK Hynix) demonstréiert. D'Attack ëmgeet erfollegräich den TRR (Target Row Refresh) Mechanismus, deen a Memory Chips implementéiert ass, deen zielt fir géint Korruptioun vun Erënnerungszellen an ugrenzend Reihen ze schützen. Laut Fuerscher sinn Systemer baséiert op AMD Zen 3 CPUs méi vulnérabel wéi Systemer mat Intel Coffee Lake Prozessoren, a si si méi einfach a méi effektiv ze attackéieren. Op AMD Zen 2 Systemer war Zell Verzerrung erreecht fir 7 vun 10 getest DDR4 Chips, an op Zen 3 Systemer fir 6 vun 10. Fuerscher analyséiert och d'Méiglechkeet vun engem Attack op AMD Zen 4 Systemer mat DDR5 Erënnerung, mä d'Attack Method entwéckelt fir DDR4 war erfollegräich reproduzéiert op nëmmen 1 vun 10 getest DDR5 Erënnerung Chips, iwwerdeems d'Méiglechkeet vun engem Ugrëff selwer net ausgeschloss ass, mee verlaangt d'Entwécklung vun méi effikass liesen Mustere gëeegent fir DDR5 Apparater.
Fir mat AMD Chips ze schaffen, konnten se virdru entwéckelt Exploiten adaptéieren, déi den Inhalt vun den Entréen an der Memory Page Table änneren (PTE, Page Table Entry) fir Kernel Privilegien ze kréien, Passwuert / Autoritéit Kontrollen ëmzegoen andeems d'Erënnerung vum Sudo Prozess geännert gëtt. , a beschiedegt den RSA-2048 ëffentleche Schlëssel, deen an der Erënnerung an OpenSSH gespäichert ass, fir de private Schlëssel nei ze kreéieren. D'Erënnerung Säit Attack gouf op 7 vun 10 getest DDR4 Chips reproduzéiert, den RSA Schlësselattack op 6 Chips, an den Sudo Attack op 4 Chips, mat Attackzäiten vun 164, 267, respektiv 209 Sekonnen.
D'Method kann och benotzt ginn, fir de System iwwer Browser unzegräifen, fir Ännerungen ze maachen. virtuell Maschinnen oder fir en Netzwierkattack ze organiséieren. De Quellcode fir den DARE-Toolkit fir Reverse-Engineering vun DRAM-Adress-Layouten ass op GitHub ënner der MIT-Lizenz verfügbar, zesumme mat zwou Sätz vun Utilitys fir d'Verschlechterung vu Speicherbit-Korruptioun - ddr4_zen2_zen3_pub fir DDR4-Chips (Zen 2 an Zen 3) an ddr5_zen4_pub fir DDR5-Chips (Zen 4). Dës kënne benotzt ginn, fir Är Systemer op Attackschwachstelle ze testen.
D'RowHammer Method gëtt benotzt fir Bits ze verzerren, wat baséiert op der Tatsaach datt am DRAM Memory, wat eng zweedimensional Array vun Zellen ass, besteet aus engem Kondensator an engem Transistor, kontinuéierlech Liesungen vun der selwechter Erënnerungsregioun zu Spannungsschwankungen féiert an Anomalien déi e klenge Verloscht vu Charge Nopeschzellen verursaachen. Wann d'Liesintensitéit héich ass, da kann d'Nopeschzell eng genuch grouss Betrag vun der Ladung verléieren an den nächste Regeneratiounszyklus huet keng Zäit fir säin ursprénglechen Zoustand ze restauréieren, wat zu enger Verännerung vum Wäert vun den Daten an der Zell gespäichert gëtt. . De Fuerscher identifizéiert d'Features vu kierperlecher Erënnerungsmapping a Synchroniséierung mat Memory Update-Mechanismen, déi an AMD Prozessoren benotzt goufen, wat et méiglech gemaach huet, Low-Level DRAM-Adresséierung ze kreéieren, d'Adresse vun den Nopeschzellen ze bestëmmen, Methoden z'entwéckelen fir de Caching ëmzegoen, a Musteren a Frequenz ze berechnen. vun Operatiounen déi zu Verloscht vun charge féieren.
Fir géint RowHammer ze schützen, benotzen Chiphersteller den TRR (Target Row Refresh) Mechanismus, deen Zellkorruptioun a spezielle Fäll blockéiert, awer net géint all méiglech Attackoptiounen schützt. Déi effektivst Schutzmethod bleift d'Benotzung vun Erënnerung mat Fehlerkorrekturcoden (ECC), déi däitlech komplizéiert, awer net komplett eliminéieren, RowHammer Attacken. D'Erhéijung vun der Frequenz vun der Erënnerungsregeneratioun kann och d'Wahrscheinlechkeet vun engem erfollegräichen Attack reduzéieren.
AMD huet e Bericht iwwer d'Thema verëffentlecht datt seet datt AMD Prozessoren Memory Controller benotzen déi mat DDR Spezifikatioune entspriechen, a well den Erfolleg vun der Attack haaptsächlech vun de Systemastellungen an DRAM Memory hänkt, sollten Froen iwwer d'Léisung vum Problem un d'Erënnerungshersteller geriicht ginn. a Systemer Bestehend Weeër fir Rowhammer-Klass Attacke méi schwéier ze maachen enthalen d'Benotzung vun ECC Erënnerung, d'Erhéijung vun der Frequenz vun der Erënnerungsregeneratioun, d'Desaktivéiere vun der deferred Regeneration Modus, a benotzt Prozessoren mat Controller déi MAC (Maximum Activate Count) Modus fir DDR4 ënnerstëtzen (1., 2. an 3. Generatioun AMD EPYC "Neapel", "Roum" a "Milan") an RFM (Refresh Management) fir DDR5 (4. Generatioun AMD EPYC).
Source: opennet.ru
