Ryhmä tutkijoita Amsterdamin vapaasta yliopistosta on kehittänyt uuden edistyneen version RowHammer-hyökkäyksestä, joka sallii DRAM-siruihin perustuvien muistin yksittäisten bittien sisällön muuttamisen suojaamaan sovellettavien virhekorjauskoodien (ECC) eheyttä.
Hyökkäys voidaan toteuttaa etänä etuoikeutetulla pääsyllä järjestelmäänKoska RowHammer-haavoittuvuus voi vääristää muistin yksittäisten bittien sisältöä lukemalla tietoja syklisesti naapurimuistisoluista.
Mikä on RowHammer-haavoittuvuus?
Sille, mitä tutkijaryhmä selittää RowHammer-haavoittuvuudesta, on, että tämä one perustuu DRAM-muistin rakenteeseen, koska pohjimmiltaan tämä on solujen kaksiulotteinen matriisi, joista kukin näistä soluista koostuu kondensaattorista ja transistorista.
Siten saman muistialueen jatkuva lukeminen johtaa jännitteen vaihteluihin ja poikkeavuuksiin, jotka aiheuttavat pienen naapurisolujen varauksen menetyksen.
Jos lukemisen voimakkuus on riittävän suuri, solu voi menettää riittävän suuren määrän varausta eikä seuraavalla regenerointisyklillä ole aikaa palauttaa alkuperäistä tilaansa, mikä johtaa muutokseen soluun tallennetun datan arvossa.
RowHammerin uusi versio
Tähän asti ECC: n käyttöä pidettiin luotettavimpana tapana suojautua yllä kuvatuilta ongelmilta.
Mutta tutkijat onnistuivat kehittämään menetelmän määritettyjen muistibittien muuttamiseksi joka ei aktivoinut virheenkorjausmekanismia.
Menetelmä voidaan käyttää palvelimissa, joissa on ECC-muistia tietojen muokkaamiseen, korvaa haitallinen koodi ja vaihda käyttöoikeuksia.
Esimerkiksi edellä esitetyissä RowHammer-hyökkäyksissä, kun hyökkääjä pääsi virtuaalikoneeseen, haittaohjelmajärjestelmän päivitykset ladattiin muuttamalla isäntänimen apt-prosessia isäntänimen.
Kuinka tämä uusi versio toimii?
Mitä tutkijat selittävät tämä uusi hyökkäys on, että ECC: n läpikäynti perustuu virheiden korjaamiseen- Jos yhtä bittiä muutetaan, ECC korjaa virheen, jos kaksi bittiä nostetaan, heitetään poikkeus ja ohjelma lopetetaan väkisin, mutta jos kolmea bittiä muutetaan samanaikaisesti, ECC ei ehkä huomaa muutosta.
Määritä olosuhteet, joissa ECC-todentaminen ei toimi, Kilpailun tapaan on kehitetty samanlainen todentamismenetelmä, jonka avulla voidaan arvioida hyökkäyksen mahdollisuus tietylle muistin osoitteelle.
Menetelmä perustuu siihen, että virheen korjaamisessa lukuaika kasvaa ja siitä johtuva viive on melko mitattavissa ja havaittavissa.
Hyökkäys supistuu peräkkäisiksi yrityksiksi muuttaa kutakin bittiä erikseen, mikä määrittää muutoksen onnistumisen ECC-asetuksen aiheuttaman viiveen perusteella.
Siksi konesanahaku suoritetaan kolmella muuttuvalla bitillä. Viimeisessä vaiheessa on välttämätöntä varmistaa, että kolme muutettavissa olevaa bittiä kahdessa paikassa ovat erilaiset, ja yritä sitten muuttaa niiden arvoa yhdellä kertaa.
Tietoja esittelystä
Los Tutkijat osoittivat onnistuneesti mahdollisuuden hyökätä neljään eri DDR3-muistia käyttävään palvelimeen (teoriassa haavoittuva ja DDR4-muisti), joista kolmessa oli Intel-prosessorit (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) ja yksi AMD (Opteron 6376).
En Esittely osoittaa, että vaaditun bittiyhdistelmän löytäminen laboratoriosta tyhjäkäynnillä olevasta palvelimesta kestää noin 32 minuuttia.
Hyökkäyksen tekeminen käynnissä olevalle palvelimelle on paljon vaikeampi sovelluksen toiminnasta johtuvien häiriöiden vuoksi.
Tuotantojärjestelmissä voi kestää jopa viikko tarvittavan vaihdettavien bittien yhdistelmän löytäminen.