Amsterdami vabaülikooli teadlaste rühm on välja töötanud RowHammeri rünnaku uue täiustatud versiooni, mis võimaldab üksikute DRAM-kiipidel põhinevate mälumahtude sisu muuta, et kaitsta rakendatavate veaparanduskoodide (ECC) terviklikkust.
Rünnakut saab korraldada kaugjuurdepääsuga süsteemile privilegeerimata juurdepääsugaKuna RowHammeri haavatavus võib moonutada üksikute bitide sisu mälus, lugedes naabruses asuvate mälurakkude andmeid tsükliliselt.
Mis on RowHammeri haavatavus?
Teadlaste rühm selgitab RowHammeri haavatavuse kohta seda, et see se põhineb DRAM-mälu struktuuril, sest põhimõtteliselt on see kahemõõtmeline rakkude maatriks, millest igaüks neist koosneb kondensaatorist ja transistorist.
Seega viib sama mälupiirkonna pidev lugemine pinge kõikumistesse ja anomaaliatesse, mis põhjustavad naaberrakkude väikese laengu kadu.
Kui lugemise intensiivsus on piisavalt suur, võib rakk kaotada piisavalt suure laengu ja järgmisel regenereerimistsüklil pole aega oma algse oleku taastamiseks, mille tulemuseks on rakus salvestatud andmete väärtuse muutus.
RowHammeri uus variant
Siiani ECC kasutamist peeti kõige usaldusväärsemaks viisiks eespool kirjeldatud probleemide eest kaitsmiseks.
Pero teadlastel õnnestus välja töötada meetod täpsustatud mälubittide muutmiseks mis ei aktiveerinud veaparandusmehhanismi.
Meetod saab andmete muutmiseks kasutada ECC-mäluga serverites, asendada pahatahtlik kood ja muuta juurdepääsuõigusi.
Näiteks ülaltoodud RowHammeri rünnakutes laaditi ründaja virtuaalmasinasse pöördumisel alla hostinime apt-protsessi muutmise kaudu pahatahtliku süsteemi värskendused, et laadida alla ja muuta hostinime kontrollloogikat.
Kuidas see uus variant töötab?
Mida teadlased seletavad see uus rünnak seisneb selles, et ECC ülevaade tugineb vigade parandamise funktsioonidele- Kui ühte bitti muudetakse, parandab ECC vea, kui kaks bitti tõstetakse, visatakse erand ja programm lõpetatakse sunniviisiliselt, kuid kui kolme bitti muudetakse samaaegselt, ei pruugi ECC muudatust märgata.
Tingimuste kindlakstegemiseks, mille korral ECC kontrollimine ei toimi, Välja on töötatud võistlusega sarnane kontrollimeetod, mis võimaldab hinnata rünnaku võimalust mälus oleva konkreetse aadressi jaoks.
Meetod põhineb sellel, et vea parandamisel lugemisaeg pikeneb ja sellest tulenev viivitus on üsna mõõdetav ja märgatav.
Rünnak taandub järjestikustele katsetele muuta iga bitti eraldi, määrates muutuse edukuse ECC seadistuse põhjustatud viivituse ilmnemise järgi.
Seetõttu viiakse masinsõnaotsing läbi kolme muutuva bitiga. Viimases etapis on vaja veenduda, et kolm muudetavat bitti kahes kohas on erinevad, ja seejärel proovida nende väärtust ühe käiguga muuta.
Demost
osa Teadlased näitasid edukalt võimalust rünnata nelja erinevat DDR3-mäluga serverit (teoreetiliselt haavatav ja DDR4 mälu), millest kolm olid varustatud Inteli protsessoritega (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) ja ühe AMD-ga (Opteron 6376).
En Demonstratsioon näitab, et vajaliku bittide kombinatsiooni leidmine laboris tühikäigu serveris võtab aega umbes 32 minutit.
Töötava serveri rünnaku tegemine on rakenduse tegevusest tulenevate häirete olemasolu tõttu palju keerulisem.
Tootmissüsteemides võib vahetatavate bittide vajaliku kombinatsiooni leidmine võtta kuni nädala.