Grupa istraživača sa Slobodnog univerziteta u Amsterdamu razvila je novu naprednu verziju napada RowHammer, koji omogućava promjenu sadržaja pojedinačnih bitova u memoriji na osnovu DRAM čipova kako bi se zaštitio integritet primijenjenih kodova za ispravljanje pogrešaka (ECC).
Napad se može izvršiti na daljinu s neprivilegiranim pristupom sistemuKako RowHammer ranjivost može iskriviti sadržaj pojedinačnih bitova u memoriji cikličkim čitanjem podataka iz susjednih memorijskih ćelija.
Šta je RowHammer ranjivost?
Ono što grupa istraživača objašnjava o ranjivosti RowHammer je da je ovo se zasnovano na strukturi DRAM memorije, jer je u osnovi ovo dvodimenzionalna matrica ćelija od kojih se svaka od tih ćelija sastoji od kondenzatora i tranzistora.
Stoga kontinuirano očitavanje istog područja memorije dovodi do fluktuacija napona i anomalija koje uzrokuju mali gubitak naboja u susjednim ćelijama.
Ako je intenzitet očitavanja dovoljno velik, ćelija može izgubiti dovoljno veliku količinu naboja i sljedeći regeneracijski ciklus neće imati vremena za vraćanje izvornog stanja, što rezultira promjenom vrijednosti pohranjenih podataka u ćeliji.
Nova varijanta RowHammera
Do sada upotreba ECC-a smatrala se najpouzdanijim načinom zaštite od gore opisanih problema.
Ali istraživači su uspjeli razviti metodu za promjenu navedenih memorijskih bitova koji nije aktivirao mehanizam ispravljanja grešaka.
Metoda može se koristiti na serverima s ECC memorijom za izmjenu podataka, zamijenite zlonamjeran kôd i promijenite prava pristupa.
Na primjer, u gore demonstriranim napadima RowHammer, kada je napadač pristupio virtualnoj mašini, zlonamjerna ažuriranja sistema su preuzeta promjenom u procesu apt imena hosta za preuzimanje i izmjenu logike provjere digitalnog potpisa hosta.
Kako funkcionira ova nova varijanta?
O čemu istraživači objašnjavaju ovaj novi napad je u tome što se ECC prolazak oslanja na značajke ispravljanja grešaka- Ako se promijeni jedan bit, ECC će ispraviti pogrešku, ako se podignu dva bita, izbacit će se izuzetak i program će se prisilno prekinuti, ali ako se tri bita promijene istovremeno, ECC možda neće primijetiti izmjenu.
Da biste utvrdili pod kojim uslovima ECC verifikacija ne radi, Razvijena je metoda verifikacije slična onoj u trci koja omogućava procjenu mogućnosti napada na određenu adresu u memoriji.
Metoda se temelji na činjenici da se prilikom ispravljanja greške vrijeme čitanja povećava i rezultirajuće kašnjenje je prilično mjerljivo i primjetno.
Napad se svodi na uzastopne pokušaje promjene svakog bita pojedinačno, određujući uspjeh promjene pojavom kašnjenja uzrokovanog ECC postavkom.
Stoga se mašinsko traženje riječi vrši s tri varijabilna bita. U posljednjoj fazi potrebno je osigurati da se tri promjenjiva bita na dva mjesta razlikuju, a zatim pokušati promijeniti vrijednost u jednom prolazu.
O demo
u Istraživači su uspješno pokazali mogućnost napada na četiri različita servera s DDR3 memorijom (teorijski ranjiva i DDR4 memorija), od kojih su tri bila opremljena Intel procesorima (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) i jednim AMD-om (Opteron 6376).
En Demonstracija pokazuje da pronalaženje potrebne kombinacije bitova u laboratoriju na neaktivnom serveru traje oko 32 minuta.
Izvršiti napad na poslužitelj koji radi je mnogo teže zbog prisustva smetnji koje proizlaze iz aktivnosti aplikacije.
U proizvodnim sistemima može potrajati i do tjedan dana da se pronađe potrebna kombinacija zamjenjivih bitova.