Група изследователи от Свободния университет в Амстердам разработи нова усъвършенствана версия на атаката RowHammer, което позволява съдържанието на отделните битове да се променя в паметта въз основа на DRAM чипове, за да се защити целостта на кодовете за корекция на грешки (ECC), които се прилагат.
Атаката може да се извърши дистанционно с непривилегирован достъп до систематаТъй като уязвимостта на RowHammer може да изкриви съдържанието на отделни битове в паметта чрез циклично четене на данни от съседни клетки на паметта.
Какво представлява уязвимостта на RowHammer?
Това, което групата изследователи обяснява за уязвимостта на RowHammer, е, че това еe въз основа на структурата на DRAM памет, защото в основата си това е двумерна матрица от клетки, от които всяка от тези клетки се състои от кондензатор и транзистор.
По този начин непрекъснатото отчитане на една и съща област на паметта води до колебания на напрежение и аномалии, които причиняват малка загуба на заряд в съседните клетки.
Ако интензивността на отчитането е достатъчно голяма, клетката може да загуби достатъчно голямо количество заряд и следващият цикъл на регенерация няма да има време да възстанови първоначалното си състояние, което води до промяна в стойността на съхранените данни в клетката.
Нов вариант на RowHammer
До сега, използването на ECC се счита за най-надеждния начин за защита срещу описаните по-горе проблеми.
Pero изследователите успяха да разработят метод за промяна на посочените битове памет което не е активирало механизъм за коригиране на грешки.
Методът може да се използва на сървъри с ECC памет за промяна на данни, заменете злонамерен код и променете правата за достъп.
Например в демонстрираните по-горе атаки на RowHammer, когато атакуващият осъществи достъп до виртуална машина, злонамерени системни актуализации бяха изтеглени чрез промяна в процеса на подходящо име на хост, за да изтеглят и променят логиката за проверка на името на хоста.
Как работи този нов вариант?
За какво обясняват изследователите тази нова атака е, че ръководството ECC разчита на функции за коригиране на грешки- Ако се смени един бит, ECC ще коригира грешката, ако се повишат два бита, ще се хвърли изключение и програмата ще бъде прекратена принудително, но ако три бита бъдат сменени едновременно, ECC може да не забележи модификацията.
За да определите условията, при които проверката на ECC не работи, Разработен е метод за проверка, подобен на този на състезанието, който позволява да се оцени възможността за атака за конкретен адрес в паметта.
Методът се основава на факта, че при коригиране на грешка времето за четене се увеличава и полученото забавяне е доста измеримо и забележимо.
Атаката се свежда до последователни опити за промяна на всеки бит поотделно, определяйки успеха на промяната чрез появата на забавяне, причинено от настройка ECC.
Следователно, машинно търсене на думи се извършва с три променливи бита. В последния етап е необходимо да се уверите, че трите изменяеми бита на две места са различни и след това да се опитате да промените стойността си за един проход.
Относно демото
Лос Изследователите успешно демонстрираха възможността за атака срещу четири различни сървъра с DDR3 памет (теоретично уязвима и DDR4 памет), три от които бяха оборудвани с процесори Intel (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) и един AMD (Opteron 6376).
En Демонстрацията показва, че намирането на необходимата комбинация от битове в лабораторията на празен сървър отнема около 32 минути.
Извършването на атака върху работещ сървър е много по-трудно поради наличието на смущения, които възникват от активността на приложението.
В производствените системи може да отнеме до една седмица, за да се намери необходимата комбинация от взаимозаменяеми битове.