来自阿姆斯特丹自由大学、苏黎世联邦理工学院和高通公司的研究人员团队 现代 DDR4 内存芯片中针对类攻击的防护有效性研究 ,允许您更改动态随机存取存储器 (DRAM) 各个位的内容。 结果令人失望,各大厂商的DDR4芯片仍在 易受伤害的 ().
RowHammer 漏洞允许通过从相邻内存单元循环读取数据来破坏各个内存位的内容。 由于 DRAM 存储器是二维单元阵列,每个单元由电容器和晶体管组成,因此对同一存储区域执行连续读取会导致电压波动和异常,从而导致相邻单元中的少量电荷损失。 如果读取强度足够高,那么电池可能会失去足够多的电荷,下一个再生周期将没有时间恢复其原始状态,这将导致电池中存储的数据值发生变化。
为了阻止这种影响,现代 DDR4 芯片使用 TRR(目标行刷新)技术,旨在防止单元在 RowHammer 攻击期间被损坏。 问题是没有单一的方法来实现 TRR,每个 CPU 和内存制造商都以自己的方式解释 TRR,应用自己的保护选项,并且不公开实现细节。
研究制造商使用的 RowHammer 阻止方法可以轻松找到绕过保护的方法。 经检查,厂家所奉行的原则是“ (默默无闻的安全性)在实施 TRR 时仅有助于特殊情况下的保护,涵盖操纵一两相邻行中的单元电荷变化的典型攻击。
研究人员开发的实用程序可以检查芯片对 RowHammer 攻击多边变体的敏感性,其中尝试同时影响多行存储单元的电荷。 此类攻击可以绕过某些制造商实施的 TRR 保护并导致内存位损坏,即使在具有 DDR4 内存的新硬件上也是如此。
在研究的 42 个 DIMM 中,有 13 个模块很容易受到 RowHammer 攻击的非标准变体的攻击,尽管已声明保护。 问题模块由SK海力士、美光和三星生产,其产品 占据 DRAM 市场 95% 的份额。
除了 DDR4 之外,还研究了移动设备中使用的 LPDDR4 芯片,这些芯片也对 RowHammer 攻击的高级变体敏感。 特别是,Google Pixel、Google Pixel 3、LG G7、OnePlus 7 和三星 Galaxy S10 智能手机中使用的内存受到了该问题的影响。
研究人员能够在有问题的 DDR4 芯片上重现多种利用技术。 例如,使用 RowHammer- 对于 PTE(页表条目),获得内核权限需要 2.3 秒到 XNUMX 小时 XNUMX 秒,具体取决于测试的芯片。 对于存储在内存中的公钥的损坏,RSA-2048 花费的时间从 74.6 秒缩短到 39 分 28 秒。 通过 sudo 进程的内存修改绕过凭据检查花了 54 分 16 秒。
已发布实用程序来检查用户使用的 DDR4 内存芯片 。 为了成功地进行攻击,需要有关存储器控制器中使用的与存储器单元组和行相关的物理地址布局的信息。 另外还开发了一个实用程序来确定布局 ,这需要以 root 身份运行。 也在不久的将来 发布用于测试智能手机内存的应用程序。
公司 и 为了保护,他们建议使用纠错内存(ECC)、支持最大激活计数(MAC)的内存控制器,并使用更高的刷新率。 研究人员认为,对于已经发布的芯片,没有解决方案可以保证针对 Rowhammer 的保护,并且使用 ECC 和增加内存再生频率被证明是无效的。 例如之前提出的 绕过 ECC 保护对 DRAM 内存进行攻击,并且还显示了通过以下方式攻击 DRAM 的可能性 从 и 在浏览器中运行 JavaScript。
来源: opennet.ru