Un grup d'investigadors de la Free University of Amsterdam ha desenvolupat una nova versió avançada de l'atac RowHammer, que permet canviar el contingut de bits individuals en la memòria basada en xips DRAM, per protegir la integritat dels codis de correcció d'errors (ECC) que s'apliquen.
L'atac es pot realitzar de forma remota amb accés no privilegiat a sistema, Ja que la vulnerabilitat de RowHammer pot distorsionar el contingut dels bits individuals de la memòria mitjançant la lectura cíclica de les dades de les cel·les de memòria veïnes.
Què és la vulnerabilitat RowHammer?
Al que expliquen grup d'investigadors sobre la vulnerabilitat de RowHammer, és que aquesta si basa en l'estructura una memòria DRAM, Ja que bàsicament aquesta és una matriu bidimensional de cel·les de les quals cadascuna d'aquestes cel·les consta d'un capacitor i un transistor.
Amb això la lectura contínua de la mateixa àrea de memòria condueix a fluctuacions de voltatge i anomalies que causen una petita pèrdua de càrrega de les cel·les veïnes.
Si la intensitat de la lectura és prou gran, la cel pot perdre una quantitat de càrrega prou gran i el següent cicle de regeneració no tindrà temps de restaurar el seu estat original, el que donarà lloc a un canvi en el valor de les dades emmagatzemades a la cel·la.
Una nova variant de RowHammer
Fins ara, l'ús d'ECC es considerava la manera més fiable de protegir-se contra els problemes descrits anteriorment.
Però els investigadors van aconseguir desenvolupar un mètode per canviar dels bits de memòria especificats que no s'activaven un mecanisme de correcció d'errors.
el mètode es pot utilitzar en servidors amb memòria ECC per a modificar les dades, Substituir codis maliciosos i canviar els drets d'accés.
Per exemple, en atacs RowHammer demostrats anteriorment, quan un atacant tenia accès a una màquina virtual, les actualitzacions de sistema malintencionat es van descarregar a través d'un canvi en el procés d'apt de el nom de l'amfitrió per descarregar i modificar la lògica de verificació de la signatura digital.
Com actua aquesta nova variant?
El que expliquen els investigadors sobre aquest nou atac és que el recorregut d'ECC es basa en característiques de correcció d'errors: Si es canvia un bit, el ECC corregirà l'error, si es generen dos bits, es generarà una excepció i el programa s'acabarà per la força, però si es canvien tres bits simultàniament, és possible que el ECC no noti la modificació.
Per determinar les condicions sota les quals la verificació ECC no funciona, s'ha desenvolupat un mètode de verificació similar a el de la cursa que permet avaluar la possibilitat d'un atac per a una adreça específica a la memoria.
El mètode es basa en el fet que, a l'corregir un error, el temps de lectura augmenta i el retard resultant és força mesurable i notable.
L'atac es redueix a intents successius de canviar cada bit individualment, determinant l'èxit de l'canvi per l'aparició d'un retard causat per un ajust de ECC.
Per tant, es realitza una recerca de paraules de màquina amb tres bits variables. En l'última etapa, cal assegurar-se que els tres bits mutables a dos llocs siguin diferents, i després tractar de canviar el seu valor en una sola passada.
Sobre la demostració
Els investigadors van demostrar amb èxit la possibilitat d'un atac en quatre servidors diferents amb memòria DDR3 (Teòricament vulnerable e memòria DDR4) tres dels quals estaven equipats amb processadors Intel (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1), i un AMD (Opteron 6376).
En la demostració s'observa que la recerca de la combinació requerida de bits al laboratori en un servidor inactiu pren al voltant de 32 minuts.
Fer un atac a un servidor en execució és molt més difícil a causa de la presència d'interferències que sorgeixen de l'activitat de l'aplicació.
En els sistemes de producció, pot portar fins a una setmana trobar la combinació requerida de bits intercanviables.