Zespół badaczy z Vrije Universiteit Amsterdam, ETH Zurich i Qualcomm badanie skuteczności zabezpieczeń przed atakami klasowymi stosowanych w nowoczesnych układach pamięci DDR4 , umożliwiając zmianę zawartości poszczególnych bitów dynamicznej pamięci o dostępie swobodnym (DRAM). Wyniki były rozczarowujące, a chipy DDR4 głównych producentów nadal są wrażliwy ().
Luka RowHammer umożliwia uszkodzenie zawartości poszczególnych bitów pamięci poprzez cykliczne odczytywanie danych z sąsiednich komórek pamięci. Ponieważ pamięć DRAM jest dwuwymiarowym układem komórek, z których każde składa się z kondensatora i tranzystora, ciągłe odczytywanie tego samego obszaru pamięci powoduje wahania napięcia i anomalie, które powodują niewielką utratę ładunku w sąsiednich komórkach. Jeżeli intensywność odczytu będzie wystarczająco duża, wówczas ogniwo może stracić odpowiednio dużą ilość ładunku i kolejny cykl regeneracji nie będzie miał czasu na przywrócenie stanu pierwotnego, co doprowadzi do zmiany wartości danych przechowywanych w ogniwie .
Aby zablokować ten efekt, nowoczesne chipy DDR4 wykorzystują technologię TRR (Target Row Refresh), zaprojektowaną w celu zapobiegania uszkodzeniu komórek podczas ataku RowHammer. Problem w tym, że nie ma jednego podejścia do implementacji TRR i każdy producent procesorów i pamięci interpretuje TRR na swój sposób, stosuje własne opcje zabezpieczeń i nie ujawnia szczegółów implementacji.
Przestudiowanie metod blokowania RowHammer stosowanych przez producentów ułatwiło znalezienie sposobów na ominięcie zabezpieczenia. Po kontroli okazało się, że zasada stosowana przez producentów „ (bezpieczeństwo przez zaciemnienie) przy wdrażaniu TRR pomaga tylko w ochronie w szczególnych przypadkach, obejmując typowe ataki manipulujące zmianami ładunku ogniw w jednym lub dwóch sąsiednich rzędach.
Opracowane przez badaczy narzędzie pozwala sprawdzić podatność chipów na wielostronne warianty ataku RowHammer, w którym podejmowana jest próba wpłynięcia na ładunek kilku rzędów komórek pamięci jednocześnie. Takie ataki mogą ominąć zabezpieczenia TRR stosowane przez niektórych producentów i prowadzić do uszkodzenia bitów pamięci, nawet na nowym sprzęcie z pamięcią DDR4.
Spośród 42 zbadanych modułów DIMM 13 okazało się podatnych na niestandardowe warianty ataku RowHammer, pomimo deklarowanej ochrony. Problematyczne moduły wyprodukowały firmy SK Hynix, Micron i Samsung, których produkty 95% rynku pamięci DRAM.
Oprócz DDR4 zbadano także chipy LPDDR4 stosowane w urządzeniach mobilnych, które również okazały się wrażliwe na zaawansowane warianty ataku RowHammer. Problem dotyczył w szczególności pamięci używanej w smartfonach Google Pixel, Google Pixel 3, LG G7, OnePlus 7 i Samsung Galaxy S10.
Naukowcom udało się odtworzyć kilka technik eksploatacji na problematycznych chipach DDR4. Na przykład, używając RowHammer- w przypadku PTE (Page Table Entries) uzyskanie uprawnień jądra zajmowało od 2.3 sekundy do trzech godzin i piętnastu sekund, w zależności od testowanych chipów. w przypadku uszkodzenia klucza publicznego przechowywanego w pamięci RSA-2048 trwało od 74.6 sekundy do 39 minut i 28 sekund. ominięcie sprawdzania poświadczeń poprzez modyfikację pamięci w procesie sudo zajęło 54 minuty i 16 sekund.
Opublikowano narzędzie służące do sprawdzania układów pamięci DDR4 używanych przez użytkowników . Aby skutecznie przeprowadzić atak, wymagana jest informacja o układzie adresów fizycznych zastosowanych w kontrolerze pamięci w stosunku do banków i rzędów komórek pamięci. Dodatkowo opracowano narzędzie umożliwiające określenie układu , który wymaga uruchomienia jako root. W najbliższej przyszłości również opublikować aplikację do testowania pamięci smartfona.
Firmy и W celu ochrony zaleca się stosowanie pamięci z korekcją błędów (ECC), kontrolerów pamięci z obsługą maksymalnej liczby aktywacji (MAC) i stosowanie zwiększonej częstotliwości odświeżania. Naukowcy uważają, że dla już wypuszczonych chipów nie ma rozwiązania gwarantującego ochronę przed Rowhammerem, a zastosowanie ECC i zwiększenie częstotliwości regeneracji pamięci okazało się nieskuteczne. Na przykład zaproponowano to wcześniej ataki na pamięć DRAM z pominięciem zabezpieczenia ECC, a także pokazuje możliwość ataku na DRAM , od и uruchomienie JavaScript w przeglądarce.
Źródło: opennet.ru