Uma equipe de pesquisadores da Vrije Universiteit Amsterdam, ETH Zurich e Qualcomm estudo da eficácia da proteção contra ataques de classe usados em chips de memória DDR4 modernos , permitindo alterar o conteúdo de bits individuais de memória dinâmica de acesso aleatório (DRAM). Os resultados foram decepcionantes e os chips DDR4 dos principais fabricantes ainda são vulnerável ().
A vulnerabilidade RowHammer permite que o conteúdo de bits de memória individuais seja corrompido pela leitura cíclica de dados de células de memória adjacentes. Como a memória DRAM é um conjunto bidimensional de células, cada uma consistindo de um capacitor e um transistor, a realização de leituras contínuas da mesma região de memória resulta em flutuações de tensão e anomalias que causam uma pequena perda de carga nas células vizinhas. Se a intensidade de leitura for alta o suficiente, a célula poderá perder uma quantidade suficientemente grande de carga e o próximo ciclo de regeneração não terá tempo para restaurar seu estado original, o que levará a uma alteração no valor dos dados armazenados na célula .
Para bloquear esse efeito, os chips DDR4 modernos usam a tecnologia TRR (Target Row Refresh), projetada para evitar que as células sejam corrompidas durante um ataque RowHammer. O problema é que não existe uma abordagem única para implementar o TRR e cada fabricante de CPU e memória interpreta o TRR à sua maneira, aplica suas próprias opções de proteção e não divulga detalhes de implementação.
O estudo dos métodos de bloqueio do RowHammer usados pelos fabricantes tornou mais fácil encontrar maneiras de contornar a proteção. Após inspeção, descobriu-se que o princípio praticado pelos fabricantes “ (segurança por obscuridade) ao implementar o TRR auxilia apenas na proteção em casos especiais, abrangendo ataques típicos que manipulam alterações na carga de células em uma ou duas linhas adjacentes.
O utilitário desenvolvido pelos pesquisadores permite verificar a suscetibilidade dos chips às variantes multilaterais do ataque RowHammer, em que é feita uma tentativa de influenciar a carga de várias linhas de células de memória ao mesmo tempo. Esses ataques podem ignorar a proteção TRR implementada por alguns fabricantes e levar à corrupção de bits de memória, mesmo em hardware novo com memória DDR4.
Dos 42 DIMMs estudados, 13 módulos revelaram-se vulneráveis a variantes não padronizadas do ataque RowHammer, apesar da proteção declarada. Os módulos problemáticos foram produzidos pela SK Hynix, Micron e Samsung, cujos produtos 95% do mercado DRAM.
Além do DDR4, também foram estudados chips LPDDR4 usados em dispositivos móveis, que também se mostraram sensíveis a variantes avançadas do ataque RowHammer. Em particular, a memória usada nos smartphones Google Pixel, Google Pixel 3, LG G7, OnePlus 7 e Samsung Galaxy S10 foi afetada pelo problema.
Os pesquisadores conseguiram reproduzir diversas técnicas de exploração em chips DDR4 problemáticos. Por exemplo, usando RowHammer- para PTE (Page Table Entries) demorou de 2.3 segundos a três horas e quinze segundos para obter privilégio de kernel, dependendo dos chips testados. para danos à chave pública armazenada na memória, o RSA-2048 levou de 74.6 segundos para 39 minutos e 28 segundos. demorou 54 minutos e 16 segundos para ignorar a verificação de credenciais por meio da modificação de memória do processo sudo.
Um utilitário foi publicado para verificar os chips de memória DDR4 usados pelos usuários . Para realizar um ataque com sucesso, são necessárias informações sobre o layout dos endereços físicos utilizados no controlador de memória em relação aos bancos e linhas de células de memória. Um utilitário foi desenvolvido adicionalmente para determinar o layout , que requer execução como root. Num futuro próximo também publicar um aplicativo para testar a memória do smartphone.
Empresas и Para proteção, eles aconselharam o uso de memória de correção de erros (ECC), controladores de memória com suporte para Contagem Máxima de Ativação (MAC) e uso de uma taxa de atualização aumentada. Os pesquisadores acreditam que para chips já lançados não há solução para proteção garantida contra Rowhammer, e o uso de ECC e o aumento da frequência de regeneração de memória revelaram-se ineficazes. Por exemplo, foi proposto anteriormente ataques à memória DRAM contornando a proteção ECC, e também mostra a possibilidade de atacar DRAM através , de и executando JavaScript no navegador.
Fonte: opennet.ru