チューリッヒのスイス高等工科専門学校、アムステルダム自由大学、クアルコムの研究者グループ の内容を変更する新しいRowHammer攻撃メソッドをリリースしました ダイナミックランダムアクセスメモリの個々のビット (DRAM).
攻撃はコード名が付けられました CVE-2021-42114として自分自身を識別した鍛冶屋 これは、RowHammerクラスの以前から知られているメソッドから保護されている多くのDDR4チップに影響しますが、この新しいバリアントでは、問題の影響を受けます。
どんな攻撃なのかわからない方へ ロウハンマー、私はあなたにこれを言うことができます 隣接するメモリセルからデータを周期的に読み取ることにより、個々のメモリビットの内容を歪めることができます。 DRAMはセルのXNUMX次元アレイであり、それぞれがコンデンサとトランジスタで構成されているため、同じメモリ領域で連続して読み取りを行うと、電圧の変動と異常が発生し、隣接するセルでわずかな電荷損失が発生します。 読み取り強度が高い場合、隣接するセルは十分な量の電荷を失う可能性があり、次の再生サイクルでは元の状態に戻す時間がなく、セルに保存されているデータの値が変化します。 。セル。
RowHammerから保護するために、チップメーカーはTRRメカニズムを提案しました (Target Row Refresh)は、隣接する行のセルの破損から保護しますが、保護は「隠すことによるセキュリティ」の原則に基づいているため、根本的な問題を解決せず、既知の特殊なケースからのみ保護しました。これにより、保護を回避する方法の検索が容易になりました。 たとえば、XNUMX月に、グーグルはTRR保護の影響を受けないハーフダブル法を提案しました、 攻撃は、ターゲットに直接隣接していないセルに影響を与えたためです。
の新しい方法 鍛冶屋はTRR保護をバイパスする別の方法を提供します、負荷リークを引き起こすXNUMXつ以上のアグレッサーチェーンへの異なる周波数での不均一な処理に基づいています。
負荷の熱につながるメモリアクセスパターンを決定するには、 特定のチップの攻撃パラメータを自動的に選択する特別なファザーが開発されました、細胞へのアクセスの順序、強度、体系化を変える。
同じセルへの曝露に関連しないこのようなアプローチは、現在のTRR保護方法を無効にします。これは、セルへの繰り返し呼び出しの数をカウントし、特定の値に達すると、再充電を開始します。 隣接するセル。 鍛冶屋では、アクセスパターンがターゲットの異なる側にある複数のセルに同時に分散されるため、しきい値に達することなく電荷が漏れることがあります。
この方法は、TRRを回避する上で以前に提案された方法よりもはるかに効果的であることが判明しました。-研究者は、Samsung、Micron、SK Hynix、および不明なメーカーから最近購入した40種類のDDR4メモリチップでビット歪みを達成することができました(メーカーは4チップで特定されていません)。 比較のために、同じ研究者によって以前に提案されたTRRespassメソッドは、その時点でテストされた13個のチップのうち42個に対してのみ有効であることが判明しました。
一般的に言えば、この方法は 鍛冶屋は、市場に出回っているすべてのDRAMチップの94%に適用できます。しかし、研究者によると、一部のチップは他のチップよりも脆弱で攻撃しやすいとのことです。 エラー訂正コード(ECC)を使用し、チップのリフレッシュレートをXNUMX倍にすると、完全な保護は提供されませんが、操作が複雑になります。
すでにリリースされているチップでは問題をブロックできず、新しい保護の実装が必要であることは注目に値します ハードウェアレベルであるため、攻撃は何年にもわたって関連性があります。
実用的な例として、Blacksmithを使用してメモリページテーブルエントリ(PTE、ページテーブルエントリ)の内容を変更してカーネル特権を取得する方法は、OpenSSHのメモリに格納されているRSA-2048公開鍵を破損します(公開鍵を持参できます)外部仮想マシンで、攻撃者の秘密鍵と一致させて被害者の仮想マシンに接続します)、sudoプロセスのメモリを変更してroot権限を取得することにより、認証チェックをバイパスします。 チップにもよりますが、ターゲットビットの変更には攻撃が発生するまでに3秒から数時間かかります。
最後に あなたがそれについてもっと知りたいなら、詳細を確認できます 次のリンクで。