Ang isang pangkat ng mga mananaliksik mula sa ETH Zurich, Vrije Universiteit Amsterdam at Qualcomm ay nag-publish ng isang bagong paraan ng pag-atake ng RowHammer na maaaring baguhin ang mga nilalaman ng mga indibidwal na piraso ng dynamic random access memory (DRAM). Ang pag-atake ay binansagan ng Blacksmith at kinilala bilang CVE-2021-42114. Maraming DDR4 chips na nilagyan ng proteksyon laban sa mga dating kilalang pamamaraan ng klase ng RowHammer ay madaling kapitan ng problema. Ang mga tool para sa pagsubok sa iyong mga system para sa kahinaan ay na-publish sa GitHub.
Alalahanin na ang mga pag-atake ng klase ng RowHammer ay nagbibigay-daan sa iyo na i-distort ang mga nilalaman ng mga indibidwal na memory bit sa pamamagitan ng paikot na pagbabasa ng data mula sa mga kalapit na memory cell. Dahil ang DRAM memory ay isang dalawang-dimensional na hanay ng mga cell, bawat isa ay binubuo ng isang capacitor at isang transistor, ang pagsasagawa ng tuluy-tuloy na pagbabasa ng parehong rehiyon ng memorya ay nagreresulta sa pagbabagu-bago ng boltahe at mga anomalya na nagdudulot ng maliit na pagkawala ng singil sa mga kalapit na cell. Kung ang intensity ng pagbabasa ay mataas, kung gayon ang kalapit na cell ay maaaring mawalan ng isang sapat na malaking halaga ng singil at ang susunod na ikot ng pagbabagong-buhay ay hindi magkakaroon ng oras upang maibalik ang orihinal na estado nito, na hahantong sa pagbabago sa halaga ng data na nakaimbak sa cell .
Upang maprotektahan laban sa RowHammer, iminungkahi ng mga tagagawa ng chip ang mekanismo ng TRR (Target Row Refresh), na nagpoprotekta laban sa katiwalian ng mga cell sa katabing mga hilera, ngunit dahil ang proteksyon ay batay sa prinsipyo ng "seguridad sa pamamagitan ng dilim," hindi nito nalutas ang problema sa ang ugat, ngunit pinoprotektahan lamang mula sa mga kilalang espesyal na kaso, na nagpadali sa paghahanap ng mga paraan upang laktawan ang proteksyon. Halimbawa, noong Mayo, iminungkahi ng Google ang Half-Double na paraan, na hindi naapektuhan ng proteksyon ng TRR, dahil naapektuhan ng pag-atake ang mga cell na hindi direktang katabi ng target.
Ang bagong pamamaraan ng panday ay nag-aalok ng ibang paraan upang lampasan ang proteksyon ng TRR, batay sa hindi pare-parehong pag-access sa dalawa o higit pang mga string ng aggressor sa magkaibang mga frequency upang magdulot ng pagtagas ng singil. Upang matukoy ang memory access pattern na humahantong sa charge leakage, isang espesyal na fuzzer ang binuo na awtomatikong pumipili ng mga parameter ng pag-atake para sa isang partikular na chip, na nag-iiba-iba sa pagkakasunud-sunod, intensity at systematicity ng cell access.
Ang ganitong diskarte, na hindi nauugnay sa pag-impluwensya sa parehong mga cell, ay ginagawang hindi epektibo ang kasalukuyang mga pamamaraan ng proteksyon ng TRR, na sa isang anyo o iba pa ay kumukulo sa pagbibilang ng bilang ng mga paulit-ulit na tawag sa mga cell at, kapag naabot ang ilang mga halaga, nagsisimula ng recharging. ng mga kalapit na selula. Sa Blacksmith, ang pattern ng pag-access ay kumakalat sa ilang mga cell nang sabay-sabay sa iba't ibang panig ng target, na nagbibigay-daan sa pagtagas ng singil nang hindi umaabot sa mga halaga ng threshold.
Ang pamamaraan ay naging makabuluhang mas epektibo kaysa sa mga naunang iminungkahing pamamaraan para sa pag-bypass sa TRR - ang mga mananaliksik ay nakamit ang bit distortion sa lahat ng 40 kamakailang binili ng iba't ibang DDR4 memory chips na ginawa ng Samsung, Micron, SK Hynix at isang hindi kilalang tagagawa (ang tagagawa ay hindi tinukoy sa 4 na chips). Para sa paghahambing, ang pamamaraan ng TRRespass na dati nang iminungkahi ng parehong mga mananaliksik ay epektibo lamang para sa 13 sa 42 na mga chip na nasubok sa oras na iyon.
Sa pangkalahatan, ang Blacksmith method ay inaasahang malalapat sa 94% ng lahat ng DRAM chips sa merkado, ngunit sinasabi ng mga mananaliksik na ang ilang mga chips ay mas mahina at mas madaling atakehin kaysa sa iba. Ang paggamit ng mga error correction code (ECC) sa mga chips at pagdodoble sa memory refresh rate ay hindi nagbibigay ng kumpletong proteksyon, ngunit nagpapalubha ng operasyon. Kapansin-pansin na ang problema ay hindi maaaring ma-block sa mga nailabas na chips at nangangailangan ng pagpapatupad ng bagong proteksyon sa antas ng hardware, kaya ang pag-atake ay mananatiling may kaugnayan sa maraming taon.
Kasama sa mga praktikal na halimbawa ang mga pamamaraan para sa paggamit ng Panday upang baguhin ang mga nilalaman ng mga entry sa memory page table (PTE, page table entry) upang makakuha ng mga pribilehiyo sa kernel, na sinisira ang RSA-2048 public key na nakaimbak sa memorya sa OpenSSH (maaari mong dalhin ang pampublikong key sa virtual machine ng ibang tao upang tumugma sa pribadong key ng umaatake upang kumonekta sa VM ng biktima) at i-bypass ang pagsusuri ng mga kredensyal sa pamamagitan ng pagbabago sa memorya ng proseso ng sudo upang makakuha ng mga pribilehiyo sa ugat. Depende sa chip, tumatagal kahit saan mula sa 3 segundo hanggang ilang oras ng oras ng pag-atake upang mabago ang isang target na bit.
Bilang karagdagan, maaari naming tandaan ang paglalathala ng bukas na framework ng LiteX Row Hammer Tester para sa pagsubok ng mga paraan ng proteksyon ng memorya laban sa mga pag-atake ng klase ng RowHammer, na binuo ng Antmicro para sa Google. Ang balangkas ay batay sa paggamit ng FPGA upang ganap na kontrolin ang mga utos na direktang ipinadala sa DRAM chip upang maalis ang impluwensya ng memory controller. Ang toolkit sa Python ay inaalok para sa pakikipag-ugnayan sa FPGA. Ang FPGA-based na gateway ay may kasamang module para sa packet data transfer (tumutukoy sa memory access patterns), Payload Executor, LiteDRAM-based controller (pinoproseso ang lahat ng logic na kinakailangan para sa DRAM, kabilang ang row activation at memory update) at isang VexRiscv CPU. Ang mga pagpapaunlad ng proyekto ay ipinamamahagi sa ilalim ng lisensya ng Apache 2.0. Iba't ibang FPGA platform ang sinusuportahan, kabilang ang Lattice ECP5, Xilinx Series 6, 7, UltraScale at UltraScale+.
Pinagmulan: opennet.ru