Et team av forskere fra Vrije Universiteit Amsterdam, ETH Zürich og Qualcomm studie av effektiviteten til beskyttelse mot klasseangrep brukt i moderne DDR4-minnebrikker , slik at du kan endre innholdet i individuelle biter av dynamisk tilfeldig tilgangsminne (DRAM). Resultatene var skuffende og DDR4-brikker fra store produsenter er fortsatt sårbar ().
RowHammer-sårbarheten gjør at innholdet i individuelle minnebiter kan ødelegges ved syklisk lesing av data fra tilstøtende minneceller. Siden DRAM-minne er et todimensjonalt utvalg av celler, som hver består av en kondensator og en transistor, resulterer kontinuerlig avlesning av samme minneregion i spenningsfluktuasjoner og anomalier som forårsaker et lite tap av ladning i naboceller. Hvis leseintensiteten er høy nok, kan cellen miste en tilstrekkelig stor mengde ladning og neste regenereringssyklus vil ikke ha tid til å gjenopprette sin opprinnelige tilstand, noe som vil føre til en endring i verdien av dataene som er lagret i cellen .
For å blokkere denne effekten bruker moderne DDR4-brikker TRR (Target Row Refresh)-teknologi, designet for å forhindre at celler blir ødelagt under et RowHammer-angrep. Problemet er at det ikke er noen enkelt tilnærming til å implementere TRR, og hver CPU- og minneprodusent tolker TRR på sin egen måte, bruker sine egne beskyttelsesalternativer og avslører ikke implementeringsdetaljer.
Å studere RowHammer-blokkeringsmetodene brukt av produsenter gjorde det enkelt å finne måter å omgå beskyttelsen. Ved inspeksjon viste det seg at prinsippet som ble praktisert av produsenter " (sikkerhet ved uklarhet) ved implementering av TRR hjelper kun for beskyttelse i spesielle tilfeller, og dekker typiske angrep som manipulerer endringer i ladningen til celler i en eller to tilstøtende rader.
Verktøyet utviklet av forskerne gjør det mulig å sjekke følsomheten til brikker for multilaterale varianter av RowHammer-angrepet, der det gjøres et forsøk på å påvirke ladningen for flere rader med minneceller samtidig. Slike angrep kan omgå TRR-beskyttelse implementert av enkelte produsenter og føre til minnebitkorrupsjon, selv på ny maskinvare med DDR4-minne.
Av de 42 DIMM-ene som ble studert, viste 13 moduler seg å være sårbare for ikke-standardvarianter av RowHammer-angrepet, til tross for den erklærte beskyttelsen. De problematiske modulene ble produsert av SK Hynix, Micron og Samsung, hvis produkter 95 % av DRAM-markedet.
I tillegg til DDR4 ble også LPDDR4-brikker brukt i mobile enheter studert, som også viste seg å være følsomme for avanserte varianter av RowHammer-angrepet. Spesielt minnet som ble brukt i smarttelefonene Google Pixel, Google Pixel 3, LG G7, OnePlus 7 og Samsung Galaxy S10 ble påvirket av problemet.
Forskere var i stand til å reprodusere flere utnyttelsesteknikker på problematiske DDR4-brikker. For eksempel ved å bruke RowHammer- for PTE (Page Table Entries) tok det fra 2.3 sekunder til tre timer og femten sekunder å oppnå kjerneprivilegier, avhengig av de testede brikkene. for skade på den offentlige nøkkelen som er lagret i minnet, tok RSA-2048 fra 74.6 sekunder til 39 minutter og 28 sekunder. det tok 54 minutter og 16 sekunder å omgå legitimasjonskontrollen via minnemodifisering av sudo-prosessen.
Et verktøy har blitt publisert for å sjekke DDR4-minnebrikkene som brukes av brukere . For å lykkes med å utføre et angrep kreves det informasjon om utformingen av fysiske adresser som brukes i minnekontrolleren i forhold til banker og rader med minneceller. Et verktøy er i tillegg utviklet for å bestemme utformingen , som krever kjøring som root. I nær fremtid også publisere en applikasjon for testing av smarttelefonminne.
selskap и For beskyttelse anbefalte de å bruke feilkorrigerende minne (ECC), minnekontrollere med MAC-støtte (Maximum Activate Count) og bruke en økt oppdateringsfrekvens. Forskere mener at for allerede utgitte brikker er det ingen løsning for garantert beskyttelse mot Rowhammer, og bruken av ECC og øke frekvensen av minneregenerering viste seg å være ineffektiv. For eksempel ble det tidligere foreslått angrep på DRAM-minne som omgår ECC-beskyttelse, og viser også muligheten for å angripe DRAM gjennom , fra и kjører JavaScript i nettleseren.
Kilde: opennet.ru