암스테르담 자유 대학의 연구원 그룹은 RowHammer 공격의 새로운 고급 버전을 개발했습니다. DRAM 칩을 기반으로 한 메모리의 개별 비트 내용을 변경하여 적용되는 오류 수정 코드 (ECC)의 무결성을 보호합니다.
시스템에 대한 권한없는 액세스를 통해 원격으로 공격을 수행 할 수 있습니다.RowHammer 취약점은 인접한 메모리 셀에서 주기적으로 데이터를 읽어 메모리에있는 개별 비트의 내용을 왜곡 할 수 있습니다.
RowHammer 취약점은 무엇입니까?
연구원 그룹이 RowHammer 취약성에 대해 설명하는 것은 이것이e DRAM 메모리의 구조에 따라, 기본적으로 이것은 각 셀이 커패시터와 트랜지스터로 구성된 XNUMX 차원 셀 매트릭스이기 때문입니다.
따라서 동일한 메모리 영역을 계속해서 읽으면 전압 변동과 이상 현상이 발생하여 인접한 셀에서 약간의 전하 손실이 발생합니다.
판독 강도가 충분히 크면 셀이 충분히 많은 양의 전하를 잃을 수 있으며 다음 재생주기는 원래 상태를 복원 할 시간이 없어서 셀에 저장된 데이터의 값이 변경됩니다.
RowHammer의 새로운 변형
지금까지, ECC를 사용하는 것은 위에서 설명한 문제로부터 보호하는 가장 신뢰할 수있는 방법으로 간주되었습니다.
하지만 연구원들은 지정된 메모리 비트를 변경하는 방법을 개발하는 데 성공했습니다. 오류 수정 메커니즘을 활성화하지 않았습니다.
방법 ECC 메모리가있는 서버에서 데이터를 수정하는 데 사용할 수 있습니다., 악성 코드 교체 및 액세스 권한 변경.
예를 들어 위에서 설명한 RowHammer 공격에서 공격자가 가상 머신에 액세스 할 때 호스트 이름 디지털 서명의 확인 논리를 다운로드하고 수정하기 위해 호스트 이름 적절한 프로세스의 변경을 통해 악성 시스템 업데이트가 다운로드되었습니다.
이 새로운 변형은 어떻게 작동합니까?
연구자들이 설명하는 것 이 새로운 공격은 ECC 연습이 오류 수정 기능에 의존한다는 것입니다.-XNUMX 비트가 변경되면 ECC가 오류를 수정하고, XNUMX 비트가 발생하면 예외가 발생하고 프로그램이 강제 종료되지만 XNUMX 비트가 동시에 변경되면 ECC가 수정을 인식하지 못할 수 있습니다.
ECC 검증이 작동하지 않는 조건을 확인하려면 메모리의 특정 주소에 대한 공격 가능성을 평가할 수있는 경주와 유사한 검증 방법이 개발되었습니다.
이 방법은 오류를 수정할 때 읽기 시간이 늘어나고 그 결과 지연이 상당히 측정 가능하고 눈에 띄는다는 사실을 기반으로합니다.
공격은 각 비트를 개별적으로 변경하려는 연속적인 시도로 축소되어 ECC 설정으로 인한 지연의 출현으로 변경의 성공 여부를 결정합니다.
따라서 기계어 검색은 XNUMX 개의 가변 비트로 수행됩니다. 마지막 단계에서 두 위치에있는 XNUMX 개의 가변 비트가 다른지 확인한 다음 단일 패스로 값을 변경해야합니다.
데모 정보
롯 연구원들은 DDR3 메모리를 사용하는 XNUMX 개의 서로 다른 서버에 대한 공격 가능성을 성공적으로 입증했습니다. (이론적으로 취약하며 DDR4 메모리), 그중 3 개에는 Intel 프로세서 (E1270-3 v5, Xeon E2650-1 v5, Intel Xeon E2620-1 v6376)와 XNUMX 개의 AMD (Opteron XNUMX)가 장착되었습니다.
En 이 데모는 유휴 서버의 랩에서 필요한 비트 조합을 찾는 데 약 32 분이 걸린다는 것을 보여줍니다.
실행중인 서버에 대한 공격은 응용 프로그램의 활동으로 인해 발생하는 간섭의 존재로 인해 훨씬 더 어렵습니다.
프로덕션 시스템에서는 필요한 교환 가능한 비트 조합을 찾는 데 최대 XNUMX 주일이 걸릴 수 있습니다.