Grupė tyrėjų iš Amsterdamo laisvo universiteto sukūrė naują išplėstinę „RowHammer“ atakos versiją, leidžiantis pakeisti atskirų bitų turinį atmintyje, remiantis DRAM lustais, siekiant apsaugoti taikomų klaidų taisymo kodų (ECC) vientisumą.
Ataka gali būti įvykdyta nuotoliniu būdu, turint neprivilegijuotą prieigą prie sistemosKadangi „RowHammer“ pažeidžiamumas gali iškreipti atskirų atminties bitų turinį, cikliškai skaitant duomenis iš kaimyninių atminties ląstelių.
Kas yra „RowHammer“ pažeidžiamumas?
Tai, ką tyrėjų grupė paaiškina apie „RowHammer“ pažeidžiamumą, yra tai, kad še remiantis DRAM atminties struktūra, nes iš esmės tai yra dvimatė ląstelių matrica, kurią kiekviena iš šių elementų sudaro kondensatorius ir tranzistorius.
Taigi nuolatinis tos pačios atminties srities skaitymas sukelia įtampos svyravimus ir anomalijas, dėl kurių kaimyninėse ląstelėse mažas krūvis.
Jei skaitymo intensyvumas yra pakankamai didelis, ląstelė gali prarasti pakankamai didelį įkrovos kiekį, o kitas regeneracijos ciklas neturės laiko atkurti pradinę būseną, dėl ko pasikeis ląstelėje saugomų duomenų vertė.
Naujas „RowHammer“ variantas
Iki šiol ECC naudojimas buvo laikomas patikimiausiu būdu apsisaugoti nuo aukščiau aprašytų problemų.
Bet mokslininkams pavyko sukurti metodą, kaip pakeisti nurodytus atminties bitus tai neįjungė klaidų taisymo mechanizmo.
Metodas gali būti naudojamas serveriuose su ECC atmintimi duomenims modifikuoti, pakeiskite kenksmingą kodą ir pakeiskite prieigos teises.
Pavyzdžiui, aukščiau parodytose „RowHammer“ atakose, kai užpuolikas pasiekė virtualią mašiną, pakeitus pagrindinio kompiuterio pavadinimo apt procesą, buvo atsisiųsti kenkėjiški sistemos naujiniai, kad būtų galima atsisiųsti ir modifikuoti pagrindinio kompiuterio pavadinimo tikrinimo logiką.
Kaip veikia šis naujas variantas?
Apie ką paaiškina tyrėjai ši nauja ataka yra ta, kad ECC apžvalga remiasi klaidų taisymo funkcijomis- Jei bus pakeistas vienas bitas, ECC ištaisys klaidą, jei bus iškelti du bitai, bus išimtis ir programa bus priverstinai nutraukta, tačiau jei trys bitai bus pakeisti vienu metu, ECC gali nepastebėti modifikacijos.
Norėdami nustatyti sąlygas, kuriomis neveikia ECC patikra, Sukurtas patikrinimo metodas, panašus į varžybų metodą, leidžiantis įvertinti atakos galimybę, atsižvelgiant į konkretų adresą atmintyje.
Metodas pagrįstas tuo, kad taisant klaidą pailgėja skaitymo laikas ir dėl to atsirandantis vėlavimas yra gana pamatuojamas ir pastebimas.
Ataka yra sumažinta iki nuoseklių bandymų pakeisti kiekvieną bitą atskirai, nustatant pakeitimo sėkmę pagal vėlavimą, kurį sukelia ECC nustatymas.
Todėl mašininio žodžio paieška atliekama trimis kintamais bitais. Paskutiniame etape būtina įsitikinti, kad trys kintantys bitai dviejose vietose yra skirtingi, ir tada pabandykite pakeisti jų vertę vienu paleidimu.
Apie demonstraciją
Los Mokslininkai sėkmingai pademonstravo galimybę užpulti keturis skirtingus serverius su DDR3 atmintimi (teoriškai pažeidžiama ir DDR4 atmintis), iš kurių trijuose buvo įdiegti „Intel“ procesoriai (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) ir vienas AMD (Opteron 6376).
En Demonstracija rodo, kad reikalingo bitų derinio radimas laboratorijoje nenaudojamame serveryje trunka apie 32 minutes.
Užpulti veikiantį serverį yra daug sunkiau, nes yra trikdžių, atsirandančių dėl programos veiklos.
Gamybos sistemose gali užtrukti iki savaitės, kol bus surastas reikalingas keičiamų antgalių derinys.