🥇Ковач - нов напад на DRAM меморијата и чиповите DDR4

Тим истражувачи од ETH Цирих, Vrije Universiteit Amsterdam и Qualcomm објавија нов метод за напад RowHammer кој може да ја промени содржината на поединечните делови од меморијата за динамичен случаен пристап (DRAM). Нападот беше со кодно име Ковач и идентификуван како CVE-2021-42114. Многу DDR4 чипови опремени со заштита од претходно познати методи од класата RowHammer се подложни на проблемот. Алатките за тестирање на вашите системи за ранливост се објавени на GitHub.

Потсетете се дека нападите на класата RowHammer ви дозволуваат да ја искривувате содржината на поединечните мемориски битови со циклично читање податоци од соседните мемориски ќелии. Бидејќи DRAM меморијата е дводимензионална низа на ќелии, секоја се состои од кондензатор и транзистор, вршењето континуирано читање на истиот мемориски регион резултира со флуктуации на напонот и аномалии кои предизвикуваат мала загуба на полнење во соседните ќелии. Ако интензитетот на читање е висок, тогаш соседната ќелија може да изгуби доволно голема количина на полнење и следниот циклус на регенерација нема да има време да ја врати првобитната состојба, што ќе доведе до промена на вредноста на податоците складирани во ќелијата .

За да се заштитат од RowHammer, производителите на чипови го предложија механизмот TRR (Освежување на целниот ред), кој штити од корупција на ќелиите во соседните редови, но бидејќи заштитата се засноваше на принципот „безбедност преку нејасност“, тој не го реши проблемот на коренот, но заштитен само од познати специјални случаи, што го олесни наоѓањето начини за заобиколување на заштитата. На пример, во мај, Google го предложи методот Half-Double, кој не беше засегнат од TRR заштитата, бидејќи нападот ги погоди ќелиите кои не беа директно во непосредна близина на целта.

Новиот метод на Ковач нуди поинаков начин да се заобиколи TRR заштитата, базиран на нееднаков пристап до две или повеќе жици на агресори на различни фреквенции за да предизвика истекување на полнежот. За да се одреди шаблонот за пристап до меморијата што доведува до истекување на полнење, развиен е специјален fuzzer кој автоматски ги избира параметрите за напад за одреден чип, менувајќи го редоследот, интензитетот и систематичноста на пристапот до ќелијата.

Таквиот пристап, кој не е поврзан со влијание врз истите ќелии, ги прави неефикасни тековните методи за заштита на TRR, кои во една или друга форма се сведуваат на броење на бројот на повторени повици до ќелиите и, кога ќе се достигнат одредени вредности, започнуваат полнење. на соседните клетки. Во Blacksmith, шаблонот за пристап се шири низ неколку ќелии одеднаш од различни страни на целта, што овозможува да се постигне истекување на полнење без да се достигнат вредностите на прагот.

Се покажа дека методот е значително поефективен од претходно предложените методи за заобиколување на TRR - истражувачите успеаја да постигнат малку дисторзија во сите 40 неодамна купени различни мемориски чипови DDR4 направени од Samsung, Micron, SK Hynix и непознат производител (производителот беше не е наведено на 4 чипови). За споредба, методот TRRespass претходно предложен од истите истражувачи бил ефикасен само за 13 од 42 чипови тестирани во тоа време.

Општо земено, се очекува методот Blacksmith да се примени на 94% од сите DRAM чипови на пазарот, но истражувачите велат дека некои чипови се поранливи и полесни за напад од другите. Употребата на кодови за корекција на грешки (ECC) кај чиповите и удвојувањето на брзината на освежување на меморијата не обезбедува целосна заштита, но ја комплицира работата. Вреди да се одбележи дека проблемот не може да се блокира во веќе објавените чипови и бара имплементација на нова заштита на хардверско ниво, така што нападот ќе остане релевантен многу години.

Практичните примери вклучуваат методи за користење на Blacksmith за промена на содржината на записите во мемориската табела на страници (PTE, влез во табелата на страници) за да се добијат привилегии на јадрото, оштетувајќи го јавниот клуч RSA-2048 зачуван во меморијата во OpenSSH (можете да го внесете јавниот клуч во туѓа виртуелна машина за да одговара на приватниот клуч на напаѓачот за поврзување со VM на жртвата) и заобиколете ја проверката на ингеренциите со менување на меморијата на процесот sudo за да стекнете права на root. Во зависност од чипот, потребни се од 3 секунди до неколку часа време за напад за да се смени еден бит на целта.

Дополнително, можеме да го забележиме објавувањето на отворената рамка LiteX Row Hammer Tester за тестирање на методите за заштита на меморијата од напади од класата RowHammer, развиена од Antmicro за Google. Рамката се заснова на употребата на FPGA за целосно контролирање на командите кои се пренесуваат директно на DRAM чипот за да се елиминира влијанието на меморискиот контролер. Пакетот со алатки во Python се нуди за интеракција со FPGA. Портата базирана на FPGA вклучува модул за пренос на податоци на пакети (дефинира шаблони за пристап до меморијата), извршител на Payload, контролер базиран на LiteDRAM (ја обработува целата логика потребна за DRAM, вклучително и активирање на редови и ажурирање на меморијата) и процесор VexRiscv. Развојот на проектот се дистрибуира под лиценцата Apache 2.0. Поддржани се различни FPGA платформи, вклучувајќи Lattice ECP5, Xilinx Series 6, 7, UltraScale и UltraScale+.

Извор: opennet.ru

Ковач - нов напад на DRAM меморија и DDR4 чипови

Додадете коментар Откажи одговор