Μια ομάδα ερευνητών από το Ελεύθερο Πανεπιστήμιο του Άμστερνταμ ανέπτυξε μια νέα προηγμένη έκδοση της επίθεσης RowHammer, που επιτρέπει στο περιεχόμενο μεμονωμένων δυαδικών ψηφίων να αλλάζει στη μνήμη με βάση DRAM chip, για την προστασία της ακεραιότητας των κωδικών διόρθωσης σφαλμάτων (ECC) που εφαρμόζονται
Η επίθεση μπορεί να πραγματοποιηθεί εξ αποστάσεως με μη προνομιακή πρόσβαση στο σύστημαΚαθώς η ευπάθεια του RowHammer μπορεί να παραμορφώσει το περιεχόμενο μεμονωμένων bit στη μνήμη διαβάζοντας κυκλικά δεδομένα από γειτονικά κελιά μνήμης.
Ποια είναι η ευπάθεια του RowHammer;
Σε αυτό που εξηγεί η ομάδα ερευνητών για την ευπάθεια του RowHammer, είναι αυτόβασίζεται στη δομή μιας μνήμης DRAM, επειδή βασικά πρόκειται για μια δισδιάστατη μήτρα κυψελών από τα οποία κάθε ένα από αυτά τα κύτταρα αποτελείται από έναν πυκνωτή και ένα τρανζίστορ.
Έτσι, η συνεχής ανάγνωση της ίδιας περιοχής μνήμης οδηγεί σε διακυμάνσεις τάσης και ανωμαλίες που προκαλούν μια μικρή απώλεια φόρτισης σε γειτονικά κύτταρα.
Εάν η ένταση της ανάγνωσης είναι αρκετά μεγάλη, το κελί μπορεί να χάσει ένα αρκετά μεγάλο ποσό φόρτισης και ο επόμενος κύκλος αναγέννησης δεν θα έχει χρόνο να επαναφέρει την αρχική του κατάσταση, με αποτέλεσμα μια αλλαγή στην τιμή των αποθηκευμένων δεδομένων.
Μια νέα παραλλαγή του RowHammer
Μέχρι τώρα, Η χρήση του ECC θεωρήθηκε ο πιο αξιόπιστος τρόπος προστασίας από τα προβλήματα που περιγράφονται παραπάνω.
Αλλά οι ερευνητές κατάφεραν να αναπτύξουν μια μέθοδο για την αλλαγή των καθορισμένων bit μνήμης που δεν ενεργοποίησε έναν μηχανισμό διόρθωσης σφαλμάτων.
Η μέθοδος μπορεί να χρησιμοποιηθεί σε διακομιστές με μνήμη ECC για την τροποποίηση δεδομένων, αντικαταστήστε τον κακόβουλο κώδικα και αλλάξτε τα δικαιώματα πρόσβασης.
Για παράδειγμα, σε επιθέσεις του RowHammer που παρουσιάστηκαν παραπάνω, όταν ένας εισβολέας είχε πρόσβαση σε μια εικονική μηχανή, λήφθηκαν κακόβουλες ενημερώσεις συστήματος μέσω μιας αλλαγής στη διαδικασία του ονόματος κεντρικού υπολογιστή για λήψη και τροποποίηση της λογικής επαλήθευσης του ονόματος κεντρικού υπολογιστή.
Πώς λειτουργεί αυτή η νέα παραλλαγή;
Τι εξηγούν οι ερευνητές Αυτή η νέα επίθεση είναι ότι η καθοδήγηση του ECC βασίζεται σε δυνατότητες διόρθωσης σφαλμάτων- Εάν αλλάξει ένα bit, το ECC θα διορθώσει το σφάλμα, εάν ανυψωθούν δύο bit, θα υπάρξει εξαίρεση και το πρόγραμμα θα τερματιστεί αναγκαστικά, αλλά εάν αλλάξουν τρία bit ταυτόχρονα, το ECC ενδέχεται να μην παρατηρήσει την τροποποίηση.
Για να προσδιορίσετε τις συνθήκες υπό τις οποίες δεν λειτουργεί η επαλήθευση ECC, Έχει αναπτυχθεί μια μέθοδος επαλήθευσης παρόμοια με αυτή του αγώνα που επιτρέπει την αξιολόγηση μιας πιθανότητας επίθεσης για μια συγκεκριμένη διεύθυνση στη μνήμη.
Η μέθοδος βασίζεται στο γεγονός ότι, όταν διορθώνεται ένα σφάλμα, ο χρόνος ανάγνωσης αυξάνεται και η προκύπτουσα καθυστέρηση είναι αρκετά μετρήσιμη και αισθητή.
Η επίθεση μειώνεται σε διαδοχικές προσπάθειες αλλαγής κάθε bit ξεχωριστά, καθορίζοντας την επιτυχία της αλλαγής από την εμφάνιση καθυστέρησης που προκαλείται από μια ρύθμιση ECC.
Επομένως, πραγματοποιείται αναζήτηση μηχανικής λέξης με τρία μεταβλητά bit Στο τελευταίο στάδιο, είναι απαραίτητο να βεβαιωθείτε ότι τα τρία μεταβλητά bits σε δύο θέσεις είναι διαφορετικά και, στη συνέχεια, προσπαθήστε να αλλάξετε την αξία τους σε ένα μόνο πέρασμα.
Σχετικά με το demo
Ο Οι ερευνητές απέδειξαν με επιτυχία την πιθανότητα επίθεσης σε τέσσερις διαφορετικούς διακομιστές με μνήμη DDR3 (θεωρητικά ευάλωτη και μνήμη DDR4), τρία από τα οποία ήταν εξοπλισμένα με επεξεργαστές Intel (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) και ένα AMD (Opteron 6376).
En Η επίδειξη δείχνει ότι η εύρεση του απαιτούμενου συνδυασμού bit στο εργαστήριο σε έναν διακομιστή αδράνειας διαρκεί περίπου 32 λεπτά.
Η επίθεση σε διακομιστή που εκτελείται είναι πολύ πιο δύσκολη λόγω της παρουσίας παρεμβολών που προκύπτει από τη δραστηριότητα της εφαρμογής.
Στα συστήματα παραγωγής, μπορεί να χρειαστεί έως και μία εβδομάδα για να βρείτε τον απαιτούμενο συνδυασμό εναλλάξιμων bits.