Une nouvelle méthode RowHammer a été créée pour contourner la protection ECC

marteau à rangs

Un groupe de chercheurs de l'Université libre d'Amsterdam a développé une nouvelle version avancée de l'attaque RowHammer, qui permet de modifier le contenu des bits individuels de la mémoire sur la base de puces DRAM, pour protéger l'intégrité des codes de correction d'erreur (ECC) qui sont appliqués.

L'attaque peut être menée à distance avec un accès non privilégié au systèmeComme la vulnérabilité RowHammer peut déformer le contenu de bits individuels en mémoire en lisant cycliquement les données des cellules de mémoire voisines.

Qu'est-ce que la vulnérabilité RowHammer?

Ce que le groupe de chercheurs explique à propos de la vulnérabilité RowHammer, c'est que ce se basé sur la structure d'une mémoire DRAM, car il s'agit essentiellement d'une matrice bidimensionnelle de cellules dont chacune de ces cellules est constituée d'un condensateur et d'un transistor.

Ainsi la lecture continue de la même zone mémoire conduit à des fluctuations de tension et des anomalies qui provoquent une petite perte de charge des cellules voisines.

Si l'intensité de la lecture est suffisamment grande, la cellule peut perdre une quantité de charge suffisamment importante et le prochain cycle de régénération n'aura pas le temps de restaurer son état d'origine, entraînant un changement de la valeur des données stockées dans la cellule.

Une nouvelle variante de RowHammer

Jusqu'à maintenant, l'utilisation d'ECC a été considérée comme le moyen le plus fiable de se protéger contre les problèmes décrits ci-dessus.

Mais les chercheurs ont réussi à développer une méthode pour changer les bits de mémoire spécifiés qui n’a pas activé de mécanisme de correction d’erreurs.

La méthode peut être utilisé sur des serveurs avec mémoire ECC pour modifier les données, remplacez le code malveillant et modifiez les droits d'accès.

Par exemple, dans les attaques RowHammer illustrées ci-dessus, lorsqu'un attaquant accédait à une machine virtuelle, des mises à jour système malveillantes étaient téléchargées via une modification du processus apt de nom d'hôte pour télécharger et modifier la logique de vérification du nom d'hôte. Signature numérique.

Comment fonctionne cette nouvelle variante?

Ce que les chercheurs expliquent cette nouvelle attaque est que la procédure pas à pas ECC repose sur des fonctionnalités de correction d'erreurs- Si un bit est modifié, l'ECC corrigera l'erreur, si deux bits sont levés, une exception sera levée et le programme sera interrompu de force, mais si trois bits sont modifiés simultanément, l'ECC peut ne pas remarquer la modification.

Pour déterminer les conditions dans lesquelles la vérification ECC ne fonctionne pas, Une méthode de vérification similaire à celle de la race a été développée qui permet d'évaluer la possibilité d'une attaque pour une adresse spécifique en mémoire.

La méthode est basée sur le fait que, lors de la correction d'une erreur, le temps de lecture augmente et le retard qui en résulte est tout à fait mesurable et perceptible.

L'attaque est réduite à des tentatives successives de changer chaque bit individuellement, déterminant le succès du changement par l'apparition d'un retard provoqué par un réglage ECC.

Par conséquent, une recherche de mot machine est effectuée avec trois bits variables. Dans la dernière étape, il est nécessaire de s'assurer que les trois bits mutables à deux endroits sont différents, puis d'essayer de changer leur valeur en une seule passe.

À propos de la démo

Les Les chercheurs ont démontré avec succès la possibilité d'une attaque sur quatre serveurs différents avec de la mémoire DDR3 (mémoire théoriquement vulnérable et DDR4), dont trois étaient équipés de processeurs Intel (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) et un AMD (Opteron 6376).

En La démonstration montre que trouver la combinaison de bits requise dans le laboratoire sur un serveur inactif prend environ 32 minutes.

Faire une attaque sur un serveur en cours d'exécution est beaucoup plus difficile en raison de la présence d'interférences résultant de l'activité de l'application.

Dans les systèmes de production, cela peut prendre jusqu'à une semaine pour trouver la combinaison requise de bits interchangeables.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.