Un groupe de chercheurs de la Swiss Higher Technical School de Zurich, de l'Université libre d'Amsterdam et de Qualcomm ont publié une nouvelle méthode d'attaque RowHammer qui modifie le contenu de bits individuels de mémoire vive dynamique (DRACHME).
L'attaque portait le nom de code Forgeron qui s'est identifié comme CVE-2021-42114 et cela affecte de nombreuses puces DDR4, qui sont protégées des méthodes précédemment connues de la classe RowHammer, mais avec cette nouvelle variante elles sont affectées par le problème.
Pour ceux qui ne savent pas de quel type d'attaque il s'agit RangéeHammer, je peux vous dire que ce vous permettent de déformer le contenu des bits de mémoire individuels en lisant cycliquement les données des cellules de mémoire voisines. La DRAM étant un réseau bidimensionnel de cellules, dont chacune est constituée d'un condensateur et d'un transistor, effectuer des lectures en continu dans la même zone mémoire entraîne des fluctuations de tension et des anomalies, provoquant une petite perte de charge dans les cellules voisines. Si l'intensité de lecture est élevée, alors la cellule voisine peut perdre une quantité de charge suffisamment importante et le prochain cycle de régénération n'aura pas le temps de restaurer son état d'origine, ce qui entraînera une modification de la valeur des données stockées dans la cellule .
Pour se protéger contre RowHammer, les fabricants de puces ont proposé un mécanisme TRR (Target Row Refresh), qui protège contre la corruption des cellules dans les lignes adjacentes, mais comme la protection était basée sur le principe de "sécurité par l'obscurité", elle ne résolvait pas le problème à la racine, mais ne protégeait que des cas particuliers connus, ce qui a facilité la recherche de moyens de contourner la protection. Par exemple, en mai, Google a proposé la méthode Half-Double, qui n'était pas affectée par la protection TRR, puisque l'attaque a touché des cellules qui n'étaient pas directement adjacentes à la cible.
La nouvelle méthode de Blacksmith propose un autre moyen de contourner la protection TRR, basé sur un traitement inhomogène avec des fréquences différentes à deux ou plusieurs chaînes d'agresseurs pour provoquer des fuites de charge.
Pour déterminer le modèle d'accès à la mémoire qui conduit à la chaleur de charge, un fuzzer spécial a été développé, qui sélectionne automatiquement les paramètres d'attaque pour une puce particulière, variant l'ordre, l'intensité et la systématisation de l'accès aux cellules.
Une telle approche, qui n'est pas associée à une exposition aux mêmes cellules, rend inefficaces les méthodes de protection TRR actuelles, qui d'une manière ou d'une autre se réduisent à compter le nombre d'appels répétés aux cellules et, une fois certaines valeurs atteintes, à commencer à se recharger. des cellules voisines. Chez Blacksmith, le modèle d'accès est réparti sur plusieurs cellules à la fois sur différents côtés de la cible, permettant une fuite de charge sans atteindre les valeurs seuil.
La méthode s'est avérée beaucoup plus efficace que les méthodes proposées précédemment pour contourner le RTR- Les chercheurs ont réussi à obtenir une distorsion binaire sur 40 puces de mémoire DDR4 différentes récemment achetées à Samsung, Micron, SK Hynix et un fabricant inconnu (le fabricant n'était pas spécifié sur 4 puces). A titre de comparaison, la méthode TRRespass précédemment proposée par les mêmes chercheurs s'est avérée efficace pour seulement 13 des 42 puces testées à l'époque.
D'une manière générale, on suppose que la méthode Blacksmith est applicable à 94% de toutes les puces DRAM sur le marchéMais selon les chercheurs, certaines puces sont plus vulnérables et plus faciles à attaquer que d'autres. L'utilisation de codes de correction d'erreurs (ECC) et le doublement du taux de rafraîchissement sur les puces n'offrent pas une protection complète, mais compliquent le fonctionnement.
Il est à noter que le problème ne peut pas être bloqué sur des puces déjà sorties et nécessite la mise en place d'une nouvelle protection au niveau matériel, l'attaque restera donc pertinente pendant de nombreuses années.
A titre d'exemples pratiques, les méthodes d'utilisation de Blacksmith pour modifier le contenu des entrées de table de page mémoire (PTE, entrée de table de page) pour obtenir les privilèges du noyau, corrompent la clé publique RSA-2048 stockée en mémoire dans OpenSSH (vous pouvez apporter la clé publique dans une machine virtuelle étrangère pour faire correspondre la clé privée de l'attaquant pour se connecter à la machine virtuelle de la victime) et contourner le contrôle d'autorisation en modifiant la mémoire du processus sudo pour obtenir les privilèges root. Selon la puce, le changement d'un bit cible prend entre 3 secondes et plusieurs heures pour que l'attaque se produise.
Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.