Une équipe de chercheurs de l'Université libre d'Amsterdam, de l'Ecole technique supérieure suisse de Zurich et de Qualcomm a mené une étude sur l'efficacité de la protection contre Les attaques RangéeHammer utilisé dans les puces de mémoire DDR4, qui permettent de modifier le contenu des bits individuels de la mémoire vive dynamique (DRAM).
Les résultats ont été décevants puisque la DDR4 reste vulnérable (CVE-2020 à 10.255) à RowHammer, car ce bug permet de déformer le contenu du bit mémoire individuelle lecture cyclique des données des cellules de mémoire voisines.
Puisque la DRAM est un réseau bidimensionnel de cellules, dont chacune est constituée d'un condensateur et d'un transistor, une lecture continue à partir de la même zone de mémoire entraîne des fluctuations de tension et des anomalies, provoquant une petite chute de pression des cellules voisines.
Si l'intensité de lecture est suffisamment grande, la cellule peut perdre une quantité de charge suffisamment importante et le prochain cycle de régénération n'aura pas le temps de restaurer son état d'origine, ce qui entraînera un changement de la valeur des données stockées dans la cellule. .
Pour bloquer cet effet, les puces DDR4 modernes utilisent la technologie TRR. (Target Row Refresh), qui est conçu pour empêcher la distorsion des cellules lors d'une attaque RowHammer.
Le problème est que il n'y a pas d'approche unifiée de la mise en œuvre du RTR et chaque fabricant de CPU et de mémoire interprète TRR à sa manière, en utilisant ses propres options de protection et sans révéler les détails d'implémentation.
L'étude des méthodes utilisées par les fabricants pour bloquer RowHammer a permis de trouver facilement des moyens de contourner la protection.
Lors de la vérification, il s'est avéré que le principe de «sécurité par l'obscurité» utilisé par les fabricants lors de la mise en œuvre du TRR ne permet de protéger que dans des cas particuliers, couvrant les attaques typiques qui manipulent le changement de charge cellulaire dans une ou deux lignes adjacentes.
L'utilitaire développé par les chercheurs nous permet de tester la sensibilité des puces aux options d'attaque multilatérales RowHammer, dans lesquelles une tentative est faite pour influencer le chargement de plusieurs lignes de cellules mémoire en même temps.
De telles attaques peuvent contourner la protection TRR mis en œuvre par certains fabricants et entraînent une distorsion des bits de mémoire, même sur les ordinateurs plus récents avec mémoire DDR4.
Sur les 42 modules DIMM étudiés, 13 étaient vulnérables aux options d'attaque RowHammer non standard, malgré la protection revendiquée. SK Hynix, Micron et Samsung lancent des modules problématiques, dont les produits couvrent 95% du marché de la DRAM.
En plus de la DDR4, Les puces LPDDR4 utilisées dans les appareils mobiles ont également été étudiées, qui ils étaient aussi sensibles pour les options d'attaque avancées de RowHammer. En particulier, la mémoire utilisée dans les smartphones Google Pixel, Google Pixel 3, LG G7, OnePlus 7 et Samsung Galaxy S10 a été affectée.
Les chercheurs ont pu reproduire diverses techniques d'exploitation sur des puces DDR4 gênant.
L'utilisation de l'exploit RowHammer pour PTE (entrées de table de page) est nécessaire pour obtenir le privilège d'un noyau d'attaque dans un délai de 2.3 secondes à trois heures et quinze secondes, selon les puces testées.
Une attaque avec dégâts sur une clé publique RSA-2048 stockée en mémoire a duré de 74.6 secondes à 39 minutes et 28 secondes. Une attaque pour éviter l'autorisation en modifiant la mémoire du processus sudo a pris 54 minutes et 16 secondes.
Pour tester les puces de mémoire DDR4 utilisé par les utilisateurs, Lancement de l'utilitaire TRRespass. Une attaque réussie nécessite des informations sur la disposition des adresses physiques utilisées dans le contrôleur de mémoire par rapport aux banques et aux lignes de cellules de mémoire.
Pour déterminer la disposition, l'utilitaire drama a été développé plus avant, ce qui nécessite de commencer par les privilèges root. Dans un proche avenir, il est également prévu de publier une application pour tester la mémoire des smartphones.
Les sociétés Intel et AMD recommandent de protéger l'utilisation de la mémoire avec une correction d'erreur (ECC), des contrôleurs de mémoire avec prise en charge de MAC et d'appliquer un taux de rafraîchissement plus élevé.
source: https://www.vusec.net