Een team van onderzoekers van de Vrije Universiteit Amsterdam, ETH Zürich en Qualcomm onderzoek naar de effectiviteit van bescherming tegen klasseaanvallen die worden gebruikt in moderne DDR4-geheugenchips , waarmee u de inhoud van afzonderlijke bits van het dynamische Random Access Memory (DRAM) kunt wijzigen. De resultaten waren teleurstellend en DDR4-chips van grote fabrikanten zijn dat nog steeds kwetsbaar ().
Door de RowHammer-kwetsbaarheid kan de inhoud van individuele geheugenbits worden beschadigd door het cyclisch lezen van gegevens uit aangrenzende geheugencellen. Omdat het DRAM-geheugen een tweedimensionale reeks cellen is, elk bestaande uit een condensator en een transistor, resulteert het continu lezen van hetzelfde geheugengebied in spanningsschommelingen en afwijkingen die een klein ladingsverlies in aangrenzende cellen veroorzaken. Als de leesintensiteit hoog genoeg is, kan de cel een voldoende grote hoeveelheid lading verliezen en zal de volgende regeneratiecyclus geen tijd hebben om de oorspronkelijke staat te herstellen, wat zal leiden tot een verandering in de waarde van de gegevens die in de cel zijn opgeslagen. .
Om dit effect te blokkeren, gebruiken moderne DDR4-chips TRR-technologie (Target Row Refresh), ontworpen om te voorkomen dat cellen beschadigd raken tijdens een RowHammer-aanval. Het probleem is dat er niet één enkele benadering is voor de implementatie van TRR en dat elke CPU- en geheugenfabrikant TRR op zijn eigen manier interpreteert, zijn eigen beveiligingsopties toepast en geen implementatiedetails openbaar maakt.
Door de RowHammer-blokkeermethoden te bestuderen die door fabrikanten worden gebruikt, werd het gemakkelijk om manieren te vinden om de bescherming te omzeilen. Bij inspectie bleek dat het principe dat door fabrikanten wordt toegepast “ (security by obscurity) bij de implementatie van TRR helpt alleen voor bescherming in speciale gevallen, waarbij typische aanvallen worden gedekt die veranderingen in de lading van cellen in een of twee aangrenzende rijen manipuleren.
Het door de onderzoekers ontwikkelde hulpprogramma maakt het mogelijk om de gevoeligheid van chips te controleren op multilaterale varianten van de RowHammer-aanval, waarbij wordt geprobeerd de lading van meerdere rijen geheugencellen tegelijk te beïnvloeden. Dergelijke aanvallen kunnen de door sommige fabrikanten geïmplementeerde TRR-bescherming omzeilen en leiden tot geheugenbitcorruptie, zelfs op nieuwe hardware met DDR4-geheugen.
Van de 42 onderzochte DIMM’s bleken 13 modules ondanks de aangegeven bescherming kwetsbaar voor niet-standaard varianten van de RowHammer-aanval. De problematische modules werden geproduceerd door SK Hynix, Micron en Samsung, wiens producten 95% van de DRAM-markt.
Naast DDR4 werd ook gekeken naar LPDDR4-chips die in mobiele apparaten worden gebruikt en die ook gevoelig bleken te zijn voor geavanceerde varianten van de RowHammer-aanval. Met name het geheugen dat wordt gebruikt in de Google Pixel-, Google Pixel 3-, LG G7-, OnePlus 7- en Samsung Galaxy S10-smartphones had last van het probleem.
Onderzoekers waren in staat verschillende exploitatietechnieken te reproduceren op problematische DDR4-chips. Als u bijvoorbeeld RowHammer gebruikt, voor PTE (Page Table Entries) duurde het 2.3 seconden tot drie uur en vijftien seconden om kernelrechten te verkrijgen, afhankelijk van de geteste chips. voor schade aan de openbare sleutel die in het geheugen is opgeslagen, duurde RSA-2048 van 74.6 seconden naar 39 minuten en 28 seconden. het duurde 54 minuten en 16 seconden om de inloggegevenscontrole te omzeilen via geheugenwijziging van het sudo-proces.
Er is een hulpprogramma gepubliceerd om de door gebruikers gebruikte DDR4-geheugenchips te controleren . Om een aanval succesvol uit te kunnen voeren is informatie nodig over de indeling van de fysieke adressen die in de geheugencontroller worden gebruikt in relatie tot banken en rijen geheugencellen. Daarnaast is er een hulpprogramma ontwikkeld om de indeling te bepalen , waarvoor het als root moet worden uitgevoerd. In de nabije toekomst ook publiceer een applicatie voor het testen van smartphonegeheugen.
vennootschap и Ter bescherming adviseerden ze om foutcorrectiegeheugen (ECC) en geheugencontrollers met MAC-ondersteuning (Maximum Activate Count) te gebruiken, en een hogere vernieuwingsfrequentie te gebruiken. Onderzoekers zijn van mening dat er voor reeds uitgebrachte chips geen oplossing is voor gegarandeerde bescherming tegen Rowhammer, en dat het gebruik van ECC en het verhogen van de frequentie van geheugenregeneratie ineffectief bleken te zijn. Het werd bijvoorbeeld eerder voorgesteld aanvallen op DRAM-geheugen waarbij de ECC-bescherming wordt omzeild, en toont ook de mogelijkheid om DRAM via , et и JavaScript in de browser uitvoeren.
Bron: opennet.ru