A zürichi Svájci Felső Műszaki Iskolából, az Amszterdami Szabadegyetemből és a Qualcomm kutatóiból álló csoport kiadtak egy új RowHammer támadási módszert, amely megváltoztatja a tartalmat dinamikus véletlen hozzáférésű memória egyes bitjei (DRAM).
A támadás kódneve volt Kovács, aki CVE-2021-42114 néven azonosította magát és ez sok DDR4-es chipet érint, amelyek a RowHammer osztály korábban ismert módszerei ellen védettek, de ezzel az új változattal már őket érinti a probléma.
Azoknak, akik nem tudják, milyen támadásról van szó SorHammer, Elmondhatom, hogy ez lehetővé teszi az egyes memóriabitek tartalmának torzítását a szomszédos memóriacellákból származó adatok ciklikus kiolvasásával. Mivel a DRAM cellák kétdimenziós tömbje, amelyek mindegyike egy-egy kondenzátorból és egy tranzisztorból áll, a folyamatos leolvasás ugyanazon a memóriaterületen feszültségingadozásokat és anomáliákat eredményez, amelyek kismértékű töltésveszteséget okoznak a szomszédos cellákban. Ha az olvasási intenzitás nagy, akkor a szomszédos cella elég nagy mennyiségű töltést veszíthet, és a következő regenerációs ciklusnak nem lesz ideje visszaállítani eredeti állapotát, ami a cellában tárolt adatok értékének megváltozásához vezet. .
A RowHammer elleni védelem érdekében a chipgyártók TRR mechanizmust javasoltak (Target Row Refresh), amely véd a szomszédos sorok celláinak korrupciójától, de mivel a védelem a "security by obscurity" elvén alapult, így a probléma gyökerében nem oldotta meg, hanem csak az ismert speciális esetektől védett, amely megkönnyítette a védelem megkerülésének módjainak keresését. Például májusban, a Google a Half-Double módszert javasolta, amelyre nem volt hatással a TRR-védelem, mivel a támadás a célponttal közvetlenül nem szomszédos sejteket érintette.
Az új módszer a A Blacksmith más módot kínál a TRR-védelem megkerülésére, két vagy több agresszor lánc különböző frekvenciájú inhomogén kezelésén alapul, hogy terhelési szivárgást okozzon.
A terhelési hő kialakulásához vezető memória-hozzáférési minta meghatározásához, egy speciális fuzzert fejlesztettek ki, amely automatikusan kiválasztja az adott chip támadási paramétereit, a cellákhoz való hozzáférés sorrendjének, intenzitásának és rendszerezettségének változtatásával.
Egy ilyen megközelítés, amely nem kapcsolódik az azonos celláknak való kitettséghez, hatástalanná teszi a jelenlegi TRR-védelmi módszereket, amelyek így vagy úgy lecsökkennek a cellák ismétlődő hívásainak számbavételére, és bizonyos értékek elérésekor megkezdik az újratöltést. a szomszédos sejtekből. A Blacksmithnél a hozzáférési minta egyszerre több cellára oszlik el a cél különböző oldalain, lehetővé téve a töltésszivárgást a küszöbértékek elérése nélkül.
A módszer sokkal hatékonyabbnak bizonyult, mint a korábban javasolt módszerek a TRR megkerülésében- A kutatóknak sikerült bittorzítást elérniük 40 különböző DDR4-es memóriachipen, amelyeket nemrég vásároltak a Samsungtól, a Microntól, az SK Hynixtől és egy ismeretlen gyártótól (a gyártó 4 chipnél nem volt meghatározva). Összehasonlításképpen, az ugyanezen kutatók által korábban javasolt TRRespass módszer az akkoriban tesztelt 13 chip közül csak 42 esetében bizonyult hatékonynak.
Általánosságban elmondható, hogy a módszer A Blacksmith a piacon lévő összes DRAM chip 94%-ára alkalmazhatóA kutatók szerint azonban egyes chipek sebezhetőbbek és könnyebben támadhatók, mint mások. A hibajavító kódok (ECC) használata és a chipek frissítési gyakoriságának megkétszerezése nem nyújt teljes védelmet, de bonyolítja a működést.
Figyelemre méltó, hogy a probléma nem blokkolható a már kiadott chipeken, és új védelem megvalósítását igényli hardver szinten, így a támadás sok éven át releváns marad.
Gyakorlati példaként megemlítjük, hogy a Blacksmith használatával a memórialaptábla-bejegyzések (PTE, oldaltábla-bejegyzés) tartalmának megváltoztatása kerneljogosultságok megszerzése érdekében megsérti az OpenSSH-ban a memóriában tárolt RSA-2048 nyilvános kulcsot (a nyilvános kulcsot hozhatja. idegen virtuális gépen, hogy megfeleljen a támadó privát kulcsának az áldozat virtuális gépéhez való csatlakozáshoz), és megkerülje az engedélyezési ellenőrzést a sudo folyamatmemória módosításával, hogy root jogosultságokat szerezzen. A chiptől függően egy célbit megváltoztatása 3 másodperctől több óráig tart, amíg a támadás megtörténik.
Végül ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részleteket A következő linken.