Un equip d'investigadors de la Universitat Lliure d'Amsterdam, l'Escola Tècnica Superior Suïssa de Zurich i Qualcomm van realitzar un estudi sobre l'efectivitat de la protecció contra els atacs RowHammer utilitzats en els xips de memòria DDR4, que permeten canviar el contingut de bits individuals de memòria dinàmica d'accés aleatori (DRAM).
Els resultats van ser decebedors ja que DDR4 segueixen sent vulnerable (CVE-2020 a 10.255) a RowHammer, doncs aquesta fallada permet distorsionar el contingut de bits individuals de memòria llegint cíclicament les dades de les cel·les de memòria veïnes.
Atès que DRAM és una matriu bidimensional de cel·les, cadascuna de les quals consta d'un condensador i un transistor, la lectura contínua de la mateixa àrea de memòria condueix a fluctuacions de voltatge i anomalies, causant una petita pèrdua de càrrega de les cel·les veïnes .
Si la intensitat de lectura és prou gran, llavors la cel·la pot perdre una quantitat prou gran de càrrega i el següent cicle de regeneració no tindrà temps per restaurar el seu estat original, el que conduirà a un canvi en el valor de les dades emmagatzemades en la cel·la.
Per bloquejar aquest efecte, els xips DDR4 moderns usen la tecnologia TRR (Target Row Refresh), que està dissenyada per evitar la distorsió cel·lular durant un atac RowHammer.
El problema és que no existeix un enfocament unificat per a la implementació de TRR i cada fabricant de CPU i memòria interpreta TRR a la seva manera, usant les seves pròpies opcions de protecció i sense revelar detalls d'implementació.
L'estudi dels mètodes utilitzats pels fabricants per bloquejar RowHammer va facilitar la recerca de formes d'evitar la protecció.
Durant la verificació, va resultar que el principi «seguretat per foscor» utilitzat pels fabricants durant la implementació de TRR només ajuda a protegir en casos especials, cobrint atacs típics que manipulen el canvi en la càrrega mòbil en una o dues files adjacents.
La utilitat desenvolupada pels investigadors ens permet provar la susceptibilitat dels xips a les opcions multilaterals d'atac RowHammer, en el qual s'intenta influir en la càrrega de diverses files de cel·les de memòria alhora.
Tals atacs poden eludir la protecció TRR implementada per alguns fabricants i donar lloc a la distorsió dels bits de memòria fins i tot en equips nous amb memòria DDR4.
Dels 42 mòduls DIMM estudiats, 13 eren vulnerables a les opcions d'atac RowHammer no estàndard, tot i la protecció reclamada. SK Hynix, Micron i Samsung llancen mòduls problemàtics, els productes cobreixen el 95% de l'mercat de DRAM.
A més de DDR4, també es van estudiar els xips LPDDR4 utilitzats en dispositius mòbils, que també van resultar sensibles per a les opcions avançades d'atac RowHammer. En particular, la memòria utilitzada en els telèfons intel·ligents Google Pixel, Google Pixel 3, LG G-7, OnePlus 7 i Samsung Galaxy S10 va resultar afectada.
Els investigadors van poder reproduir diverses tècniques d'explotació en xips DDR4 problemàtics.
L'ús de l'exploit RowHammer per PTE (entrades de taula de pàgina) requerit per obtenir el privilegi d'un nucli d'atac dins de 2.3 segons a tres hores i quinze segons, depenent dels xips que es proven.
Un atac per danys a una clau pública RSA-2048 emmagatzemada a la memòria prendre de 74.6 segons a 39 minuts i 28 segons. Un atac per evitar l'autorització mitjançant la modificació de la memòria de l'procés de sudo va prendre 54 minuts i 16 segons.
Per provar els xips de memòria DDR4 utilitzats pels usuaris, es publica la utilitat TRRespass. Un atac reeixit requereix informació sobre el disseny de les adreces físiques utilitzades en el controlador de memòria en relació amb bancs i files de cel·les de memòria.
Per determinar el disseny, es va desenvolupar addicionalment la utilitat drama, que requereix començar amb privilegis de root. En un futur proper, també es planeja publicar una aplicació per provar la memòria dels telèfons intel·ligents.
Empreses Intel i AMD recomana a protegir l'ús de la memòria amb correcció d'errors (ECC), controladors de memòria amb suport per a MAC i aplicar una major freqüència de regeneració.
font: https://www.vusec.net