Eine Gruppe von Forschern der Freien Universität Amsterdam hat eine neue erweiterte Version des RowHammer-Angriffs entwickelt. Dadurch kann der Inhalt einzelner Bits im Speicher basierend auf DRAM-Chips geändert werden, um die Integrität der angewendeten Fehlerkorrekturcodes (ECC) zu schützen.
Der Angriff kann remote mit nicht privilegiertem Zugriff auf das System ausgeführt werdenDa die RowHammer-Sicherheitsanfälligkeit den Inhalt einzelner Bits im Speicher verzerren kann, indem zyklisch Daten aus benachbarten Speicherzellen gelesen werden.
Was ist die RowHammer-Sicherheitsanfälligkeit?
Was die Forschergruppe über die RowHammer-Sicherheitslücke erklärt, ist, dass dies se basiert auf der Struktur eines DRAM-Speichers, weil dies im Grunde eine zweidimensionale Matrix von Zellen ist, von denen jede dieser Zellen aus einem Kondensator und einem Transistor besteht.
Somit führt das kontinuierliche Lesen desselben Speicherbereichs zu Spannungsschwankungen und Anomalien, die einen geringen Ladungsverlust in benachbarten Zellen verursachen.
Wenn die Intensität des Lesens groß genug ist, kann die Zelle eine ausreichend große Ladungsmenge verlieren und der nächste Regenerationszyklus hat keine Zeit, seinen ursprünglichen Zustand wiederherzustellen, was zu einer Änderung des Werts der in der Zelle gespeicherten Daten führt.
Eine neue Variante von RowHammer
Bisher Die Verwendung von ECC wurde als der zuverlässigste Weg zum Schutz vor den oben beschriebenen Problemen angesehen.
Birne Den Forschern gelang es, eine Methode zum Ändern der angegebenen Speicherbits zu entwickeln das hat keinen Fehlerkorrekturmechanismus aktiviert.
Die Methode kann auf Servern mit ECC-Speicher zum Ändern von Daten verwendet werden, ersetzen Sie bösartigen Code und ändern Sie die Zugriffsrechte.
Beispielsweise wurden bei den oben gezeigten RowHammer-Angriffen, wenn ein Angreifer auf eine virtuelle Maschine zugegriffen hat, schädliche Systemaktualisierungen durch eine Änderung des apt-Prozesses für Hostnamen heruntergeladen, um die Überprüfungslogik der digitalen Signatur des Hostnamens herunterzuladen und zu ändern.
Wie funktioniert diese neue Variante?
Was die Forscher erklären Bei diesem neuen Angriff basiert die ECC-exemplarische Vorgehensweise auf Fehlerkorrekturfunktionen- Wenn ein Bit geändert wird, korrigiert die ECC den Fehler. Wenn zwei Bits ausgelöst werden, wird eine Ausnahme ausgelöst und das Programm wird zwangsweise beendet. Wenn jedoch drei Bits gleichzeitig geändert werden, bemerkt die ECC die Änderung möglicherweise nicht.
Um die Bedingungen zu bestimmen, unter denen die ECC-Überprüfung nicht funktioniert, Es wurde eine Verifizierungsmethode ähnlich der des Rennens entwickelt, mit der die Möglichkeit eines Angriffs auf eine bestimmte Adresse im Speicher bewertet werden kann.
Das Verfahren basiert auf der Tatsache, dass bei der Korrektur eines Fehlers die Lesezeit zunimmt und die resultierende Verzögerung ziemlich messbar und spürbar ist.
Der Angriff wird auf aufeinanderfolgende Versuche reduziert, jedes Bit einzeln zu ändern, wobei der Erfolg der Änderung durch das Auftreten einer Verzögerung bestimmt wird, die durch eine ECC-Einstellung verursacht wird.
Daher wird eine Maschinenwortsuche mit drei variablen Bits durchgeführt. In der letzten Phase muss sichergestellt werden, dass die drei veränderlichen Bits an zwei Stellen unterschiedlich sind, und dann versucht werden, ihren Wert in einem einzigen Durchgang zu ändern.
Über die Demo
Die Die Forscher haben erfolgreich die Möglichkeit eines Angriffs auf vier verschiedene Server mit DDR3-Speicher demonstriert (theoretisch anfälliger und DDR4-Speicher), von denen drei mit Intel-Prozessoren (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) und einem AMD (Opteron 6376) ausgestattet waren.
En Die Demonstration zeigt, dass das Auffinden der erforderlichen Kombination von Bits im Labor auf einem inaktiven Server etwa 32 Minuten dauert.
Ein Angriff auf einen laufenden Server ist aufgrund von Interferenzen, die durch die Aktivität der Anwendung verursacht werden, viel schwieriger.
In Produktionssystemen kann es bis zu einer Woche dauern, bis die erforderliche Kombination austauschbarer Bits gefunden ist.