צוות חוקרים מהאוניברסיטה החופשית באמסטרדם, בית הספר הטכני הגבוה לשוויץ בציריך וקוואלקום ערך מחקר על יעילות ההגנה מפני ההתקפות RowHammer משמש בשבבי זיכרון DDR4, המאפשרים לשנות את התוכן של סיביות בודדות של זיכרון גישה אקראית דינמית (DRAM).
התוצאות היו מאכזבות כאשר DDR4 נותרים פגיעים (CVE-2020-10.255) בפני RowHammer, כמו באג זה מאפשר לעוות את תוכן הסיביות זיכרון אינדיבידואלי קריאה מחזורית של נתונים מתאי זיכרון שכנים.
מכיוון ש- DRAM הוא מערך דו-ממדי של תאים, שכל אחד מהם מורכב מקבל וטרנזיסטור, קריאה רציפה של אותו אזור זיכרון מובילה לתנודות מתח וחריגות, מה שגורם לאובדן מטען קטן מהתאים הסמוכים.
אם עוצמת הקריאה גדולה מספיק, התא עלול לאבד כמות מספיק גדולה של מטען ולמחזור ההתחדשות הבא לא יהיה זמן להחזיר את מצבו המקורי, מה שיוביל לשינוי בערך הנתונים השמורים בתא .
כדי לחסום אפקט זה, שבבי DDR4 מודרניים משתמשים בטכנולוגיית TRR (Target Row Refresh), שנועד למנוע עיוות תאים במהלך התקפה של RowHammer.
הבעיה היא אין גישה אחידה ליישום TRR וכל מעבד ויצרן זיכרון מפרש את TRR בדרכם, תוך שימוש באפשרויות ההגנה שלהם ומבלי לחשוף את פרטי היישום.
לימוד השיטות בהן השתמשו היצרנים לחסימת RowHammer הקל על מציאת דרכים להגנה.
במהלך האימות התברר כי עקרון "אבטחה על ידי סתום" בו השתמשו היצרנים במהלך הטמעת TRR רק מסייע בהגנה במקרים מיוחדים, ומכסה התקפות אופייניות המתפעלות את שינוי עומס התאים בשורה אחת או שתיים סמוכות.
כלי השירות שפיתחו החוקרים מאפשר לנו לבדוק את רגישות השבבים לאפשרויות ההתקפה הרב-צדדיות של RowHammer, בהן נעשה ניסיון להשפיע על טעינה של מספר שורות של תאי זיכרון בו זמנית.
התקפות כאלה יכולות לעקוף את הגנת ה- TRR מיושם על ידי יצרנים מסוימים ומוביל לעיוות ביט בזיכרון גם במחשבים חדשים יותר עם זיכרון DDR4.
מתוך 42 DIMM שנחקרו, 13 היו פגיעים לאפשרויות התקפה לא סטנדרטיות של RowHammer, למרות ההגנה הנתבעת. SK Hynix, מיקרון וסמסונג משיקים מודולים בעייתיים, שמוצריהם מכסים 95% משוק ה- DRAM.
בנוסף ל- DDR4, נבדקו גם שבבי LPDDR4 המשמשים במכשירים ניידיםכי הם גם היו רגישים לקבלת אפשרויות התקפה מתקדמות של RowHammer. במיוחד נפגע הזיכרון המשמש בסמארטפונים של גוגל פיקסל, גוגל פיקסל 3, LG G7, OnePlus 7 וסמסונג גלקסי S10.
החוקרים הצליחו לשחזר טכניקות ניצול שונות על שבבי DDR4 בעייתי.
השימוש ב- RowHammer ל- PTE (ערכי טבלת עמודים) נדרש כדי להשיג את הזכות של ליבת התקפה תוך 2.3 שניות עד שלוש שעות וחמש עשרה שניות, תלוי בשבבים שנבדקו.
התקפת נזק על מפתח ציבורי RSA-2048 שנשמר בזיכרון ארכה מ 74.6 שניות ל 39 דקות ו 28 שניות. התקפה להימנעות מאישור על ידי שינוי זיכרון תהליך הסודו ארכה 54 דקות ו -16 שניות.
לבדיקת שבבי זיכרון DDR4 בשימוש על ידי משתמשים, השירות TRRespass שוחרר. התקפה מוצלחת דורשת מידע על פריסת הכתובות הפיזיות המשמשות בבקר הזיכרון ביחס לבנקים ולשורות של תאי זיכרון.
כדי לקבוע את הפריסה, כלי הדרמה פותח עוד יותר, מה שמצריך התחלה עם הרשאות שורש. בעתיד הקרוב מתוכנן לפרסם גם אפליקציה לבדיקת זיכרון הסמארטפונים.
חברות אינטל ו- AMD ממליצות להגן על השימוש בזיכרון באמצעות תיקון שגיאות (ECC), בקרי זיכרון עם תמיכה ב- MAC ולהחיל קצב רענון גבוה יותר.
מקור: https://www.vusec.net