קבוצת חוקרים מבית הספר הטכני הגבוה בשוויץ בציריך, האוניברסיטה החופשית של אמסטרדם וקוואלקום פרסמו שיטת התקפה חדשה של RowHammer שמשנה את התוכן של סיביות בודדות של זיכרון גישה אקראית דינמית (לְגִימָה).
המתקפה קיבלה שם קוד נפח שהזדהה כ-CVE-2021-42114 וזה משפיע על שבבי DDR4 רבים, המוגנים מהשיטות הידועות בעבר של מחלקת RowHammer, אבל עם הגרסה החדשה הזו הם מושפעים מהבעיה.
למי שלא יודע באיזה פיגוע מדובר RowHammer, אני יכול להגיד לך שזה מאפשרים לך לעוות את התוכן של סיביות זיכרון בודדות על ידי קריאה מחזורית של נתונים מתאי זיכרון שכנים. מכיוון ש-DRAM הוא מערך דו מימדי של תאים, שכל אחד מהם מורכב מקבל וטרנזיסטור, קריאה רציפה באותו אזור זיכרון גורמת לתנודות מתח וחריגות, הגורמות לאובדן מטען קטן בתאים שכנים. אם עוצמת הקריאה גבוהה, אז התא השכן עלול לאבד כמות גדולה מספיק של טעינה ולמחזור ההתחדשות הבא לא יהיה זמן לשחזר את מצבו המקורי, מה שיוביל לשינוי בערך הנתונים המאוחסנים בתא .תא.
כדי להגן מפני RowHammer, יצרני השבבים הציעו מנגנון TRR (Target Row Refresh), המגן מפני השחתה של תאים בשורות סמוכות, אך מכיוון שההגנה התבססה על עיקרון "בטחון על ידי ערפול", היא לא פתרה את הבעיה בשורש, אלא מוגנת רק ממקרים מיוחדים ידועים, מה שהקל על החיפוש אחר דרכים לעקוף הגנה. למשל, בחודש מאי, גוגל הציעה את שיטת Half-Double, שלא הושפעה מהגנת TRR, מאחר שהתקיפה פגעה בתאים שלא היו סמוכים ישירות למטרה.
השיטה החדשה של Blacksmith מציעה דרך אחרת לעקוף את הגנת TRR, מבוסס על טיפול לא הומוגני עם תדרים שונים לשתי שרשראות תוקפניות או יותר כדי לגרום לדליפות עומס.
כדי לקבוע את דפוס הגישה לזיכרון שמוביל לחום עומס, פותח fuzzer מיוחד, שבוחר אוטומטית את פרמטרי ההתקפה עבור שבב מסוים, שינוי הסדר, העוצמה והשיטתיות של הגישה לתאים.
גישה כזו, שאינה קשורה לחשיפה לאותם תאים, הופכת את שיטות ההגנה הנוכחיות של TRR לבלתי יעילות, אשר בדרך זו או אחרת מצטמצמת לספירת מספר השיחות החוזרות ונשנות לתאים, וכאשר מגיעים לערכים מסוימים, מתחילים להיטען מחדש. תאים שכנים. ב-Blacksmith, דפוס הגישה מפוזר על פני מספר תאים בו-זמנית בצדדים שונים של המטרה, מה שמאפשר דליפת מטען מבלי להגיע לערכי סף.
השיטה התבררה כיעילה הרבה יותר מהשיטות שהוצעו בעבר בעקיפת TRR- חוקרים הצליחו להשיג עיוות סיביות ב-40 שבבי זיכרון מסוג DDR4 שונים שנרכשו לאחרונה מסמסונג, מיקרון, SK Hynix, ויצרן לא ידוע (לא צוין היצרן על 4 שבבים). לשם השוואה, שיטת TRRespass שהוצעה בעבר על ידי אותם חוקרים התבררה כיעילה רק עבור 13 מתוך 42 השבבים שנבדקו באותה תקופה.
באופן כללי, השיטה היא הנחה Blacksmith חל על 94% מכל שבבי DRAM בשוקאבל לפי החוקרים, שבבים מסוימים פגיעים יותר וקלים יותר לתקיפה מאחרים. שימוש בקודי תיקון שגיאות (ECC) והכפלת קצב הרענון בשבבים אינו מספק הגנה מלאה, אך הוא מסבך את הפעולה.
ראוי לציין שלא ניתן לחסום את הבעיה בשבבים שכבר שוחררו ודורשת יישום הגנה חדשה ברמת החומרה, כך שהמתקפה תישאר רלוונטית במשך שנים רבות.
כדוגמאות מעשיות, שיטות השימוש ב-Blacksmith כדי לשנות את התוכן של ערכי טבלת עמודי הזיכרון (PTE, כניסת טבלת עמודים) כדי לקבל הרשאות ליבה, משחיתות את המפתח הציבורי RSA-2048 המאוחסן בזיכרון ב-OpenSSH (אתה יכול להביא את המפתח הציבורי במכונה וירטואלית זרה כדי להתאים את המפתח הפרטי של התוקף כדי להתחבר למכונה הווירטואלית של הקורבן) ולעקוף את בדיקת ההרשאות על ידי שינוי הזיכרון של תהליך הסודו כדי לקבל הרשאות שורש. בהתאם לשבב, שינוי סיביות מטרה לוקח בין 3 שניות למספר שעות עד שהמתקפה מתרחשת.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים בקישור הבא.