طورت مجموعة من الباحثين من جامعة أمستردام الحرة نسخة متقدمة جديدة من هجوم RowHammer ، يسمح بتغيير محتوى البتات الفردية في الذاكرة بناءً على شرائح DRAM ، لحماية سلامة أكواد تصحيح الأخطاء (ECC) التي يتم تطبيقها.
يمكن تنفيذ الهجوم عن بعد مع وصول غير مخول إلى النظامنظرًا لأن ضعف RowHammer يمكن أن يشوه محتوى البتات الفردية في الذاكرة عن طريق قراءة البيانات دوريًا من خلايا الذاكرة المجاورة.
ما هو ضعف RowHammer؟
ما تشرح مجموعة الباحثين حول ثغرة RowHammer هو أن هذه ثغرةe بناءً على هيكل ذاكرة DRAM، لأن هذا أساسًا عبارة عن مصفوفة ثنائية الأبعاد من الخلايا تتكون كل خلية منها من مكثف وترانزستور.
وبالتالي فإن القراءة المستمرة لنفس منطقة الذاكرة تؤدي إلى تقلبات الجهد والشذوذ التي تسبب فقدانًا بسيطًا للشحنة في الخلايا المجاورة.
إذا كانت شدة القراءة كبيرة بما يكفي ، فقد تفقد الخلية كمية كبيرة بما يكفي من الشحنة ولن يكون لدورة التجديد التالية وقت لاستعادة حالتها الأصلية ، مما يؤدي إلى تغيير في قيمة البيانات المخزنة. في الخلية.
نوع جديد من RowHammer
وحتى الآن، يعتبر استخدام ECC الطريقة الأكثر موثوقية للحماية من المشكلات الموضحة أعلاه.
بيرو نجح الباحثون في تطوير طريقة لتغيير بتات الذاكرة المحددة التي لم تنشط آلية تصحيح الخطأ.
الطريقة يمكن استخدامها على الخوادم المزودة بذاكرة ECC لتعديل البيانات، واستبدال التعليمات البرمجية الضارة وتغيير حقوق الوصول.
على سبيل المثال ، في هجمات RowHammer الموضحة أعلاه ، عندما وصل المهاجم إلى جهاز افتراضي ، تم تنزيل تحديثات النظام الضارة من خلال تغيير في عملية ملائمة اسم المضيف لتنزيل وتعديل منطق التحقق من اسم المضيف. التوقيع الرقمي.
كيف يعمل هذا البديل الجديد؟
ما شرحه الباحثون عنه هذا الهجوم الجديد هو أن إرشادات ECC تعتمد على ميزات تصحيح الخطأ- إذا تم تغيير بت واحد ، فستقوم ECC بتصحيح الخطأ ، وإذا تم رفع بتتين ، فسيتم طرح استثناء وسيتم إنهاء البرنامج بالقوة ، ولكن إذا تم تغيير ثلاث بتات في وقت واحد ، فقد لا تلاحظ ECC التعديل.
لتحديد الظروف التي لا يعمل بموجبها التحقق من ECC ، تم تطوير طريقة تحقق مماثلة لتلك الخاصة بالسباق والتي تسمح بتقييم إمكانية حدوث هجوم لعنوان معين في الذاكرة.
تعتمد الطريقة على حقيقة أنه عند تصحيح الخطأ ، يزداد وقت القراءة ويكون التأخير الناتج قابلاً للقياس والملاحظة.
يتم تقليل الهجوم إلى محاولات متتالية لتغيير كل بت على حدة ، مما يحدد نجاح التغيير بظهور التأخير الناجم عن إعداد ECC.
لذلك ، يتم إجراء بحث عن كلمة آلية بثلاث بتات متغيرة. في المرحلة الأخيرة ، من الضروري التأكد من اختلاف البتات الثلاثة القابلة للتغيير في مكانين ، ثم محاولة تغيير قيمتها في مسار واحد.
حول العرض
الكثير أثبت الباحثون بنجاح إمكانية الهجوم على أربعة خوادم مختلفة بذاكرة DDR3 (ذاكرة ضعيفة من الناحية النظرية وذاكرة DDR4) ، تم تجهيز ثلاثة منها بمعالجات Intel (E3-1270 v3 و Xeon E5-2650 v1 و Intel Xeon E5-2620 v1) وواحد AMD (Opteron 6376).
En يوضح العرض التوضيحي أن العثور على المجموعة المطلوبة من وحدات البت في المختبر على خادم خامل يستغرق حوالي 32 دقيقة.
يعد الهجوم على خادم قيد التشغيل أكثر صعوبة نظرًا لوجود التداخل الذي ينشأ من نشاط التطبيق.
في أنظمة الإنتاج ، قد يستغرق الأمر ما يصل إلى أسبوع للعثور على المجموعة المطلوبة من وحدات البت القابلة للتبديل.