Un gruppo di ricercatori della Libera Università di Amsterdam ha sviluppato una nuova versione avanzata dell'attacco RowHammer, che consente di modificare il contenuto dei singoli bit in memoria basati su chip DRAM, per proteggere l'integrità dei codici di correzione degli errori (ECC) applicati.
L'attacco può essere effettuato da remoto con accesso non privilegiato al sistemaPoiché la vulnerabilità RowHammer può distorcere il contenuto di singoli bit in memoria leggendo ciclicamente i dati dalle celle di memoria adiacenti.
Qual è la vulnerabilità RowHammer?
Quello che il gruppo di ricercatori spiega sulla vulnerabilità di RowHammer è che questo èe basato sulla struttura di una memoria DRAM, perché in pratica si tratta di una matrice bidimensionale di celle di cui ciascuna di queste celle è composta da un condensatore e da un transistor.
Quindi la lettura continua della stessa area di memoria porta a fluttuazioni di tensione e anomalie che provocano una piccola perdita di carica nelle celle vicine.
Se l'intensità della lettura è abbastanza grande, la cella potrebbe perdere una quantità di carica sufficientemente grande e il successivo ciclo di rigenerazione non avrà il tempo di ripristinare il suo stato originale, con conseguente cambiamento nel valore dei dati memorizzati nella cella.
Una nuova variante di RowHammer
Finora, l'utilizzo di ECC era considerato il modo più affidabile per proteggersi dai problemi sopra descritti.
Ma i ricercatori sono riusciti a sviluppare un metodo per modificare i bit di memoria specificati che non ha attivato un meccanismo di correzione degli errori.
Il metodo può essere utilizzato su server con memoria ECC per modificare i dati, sostituire il codice dannoso e modificare i diritti di accesso.
Ad esempio, negli attacchi RowHammer dimostrati sopra, quando un utente malintenzionato accedeva a una macchina virtuale, gli aggiornamenti di sistema dannosi venivano scaricati tramite una modifica nel processo apt del nome host per scaricare e modificare la logica di verifica del nome host. Firma digitale.
Come funziona questa nuova variante?
Di cosa spiegano i ricercatori questo nuovo attacco è che la procedura dettagliata ECC si basa sulle funzionalità di correzione degli errori- Se un bit viene modificato, l'ECC correggerà l'errore, se vengono sollevati due bit, verrà generata un'eccezione e il programma verrà terminato forzatamente, ma se tre bit vengono modificati contemporaneamente, l'ECC potrebbe non notare la modifica.
Per determinare le condizioni in cui la verifica ECC non funziona, È stato sviluppato un metodo di verifica simile a quello di gara che permette di valutare la possibilità di un attacco per uno specifico indirizzo in memoria.
Il metodo si basa sul fatto che, quando si corregge un errore, il tempo di lettura aumenta e il ritardo risultante è abbastanza misurabile e percepibile.
L'attacco è ridotto a tentativi successivi di cambiare individualmente ogni bit, determinando il successo della modifica dalla comparsa di un ritardo causato da un'impostazione ECC.
Pertanto, viene eseguita una ricerca di parole macchina con tre bit variabili. Nell'ultima fase, è necessario assicurarsi che i tre bit mutabili in due posizioni siano diversi, quindi provare a modificare il loro valore in un unico passaggio.
Informazioni sulla demo
I I ricercatori hanno dimostrato con successo la possibilità di un attacco a quattro diversi server con memoria DDR3 (teoricamente vulnerabile e memoria DDR4), tre dei quali erano dotati di processori Intel (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) e un AMD (Opteron 6376).
En La dimostrazione mostra che la ricerca della combinazione di bit richiesta in laboratorio su un server inattivo richiede circa 32 minuti.
Effettuare un attacco su un server in esecuzione è molto più difficile a causa della presenza di interferenze che derivano dall'attività dell'applicazione.
Nei sistemi di produzione, può essere necessaria fino a una settimana per trovare la combinazione richiesta di punte intercambiabili.