Pētnieku grupa no Amsterdamas Brīvās universitātes ir izstrādājusi jaunu uzlabotu RowHammer uzbrukuma versiju, kas ļauj atsevišķu bitu saturu mainīt atmiņā, pamatojoties uz DRAM mikroshēmām, lai aizsargātu piemēroto kļūdu labošanas kodu (ECC) integritāti.
Uzbrukumu var veikt attālināti ar privileģētu piekļuvi sistēmaiTā kā RowHammer ievainojamība var sagrozīt atsevišķu atmiņas bitu saturu, cikliski nolasot datus no kaimiņu atmiņas šūnām.
Kāda ir RowHammer ievainojamība?
Tam, ko pētnieku grupa izskaidro par RowHammer ievainojamību, ir tas, ka se pamatojoties uz DRAM atmiņas struktūru, jo būtībā šī ir divdimensiju šūnu matrica, no kuras katra no šīm šūnām sastāv no kondensatora un tranzistora.
Tādējādi vienas un tās pašas atmiņas zonas nepārtraukta nolasīšana noved pie sprieguma svārstībām un anomālijām, kas izraisa nelielu lādiņa zudumu kaimiņu šūnās.
Ja nolasīšanas intensitāte ir pietiekami liela, šūna var zaudēt pietiekami lielu lādiņa daudzumu un nākamajam reģenerācijas ciklam nebūs laika atjaunot sākotnējo stāvokli, kā rezultātā mainīsies šūnā saglabāto datu vērtība.
Jauns RowHammer variants
Līdz šim ECC izmantošana tika uzskatīta par visuzticamāko veidu, kā pasargāt no iepriekš aprakstītajām problēmām.
Bet pētniekiem izdevās izstrādāt metodi norādīto atmiņas bitu maiņai kas neaktivizēja kļūdu labošanas mehānismu.
Metode var izmantot serveros ar ECC atmiņu, lai modificētu datus, nomainiet ļaunprātīgo kodu un mainiet piekļuves tiesības.
Piemēram, iepriekš demonstrētajos RowHammer uzbrukumos, kad uzbrucējs piekļuva virtuālajai mašīnai, mainot resursdatora nosaukuma apt procesu, tika lejupielādēti ļaunprātīgi sistēmas atjauninājumi, lai lejupielādētu un modificētu resursdatora nosaukuma verifikācijas loģiku.
Kā darbojas šis jaunais variants?
Ko paskaidro pētnieki šis jaunais uzbrukums ir tāds, ka ECC pārskats balstās uz kļūdu labošanas funkcijām- Ja tiek mainīts viens bits, ECC novērsīs kļūdu, ja tiek pacelti divi biti, tiks izmests izņēmums un programma tiks piespiedu kārtā pārtraukta, bet, ja vienlaikus tiks mainīti trīs biti, ECC var nepamanīt modifikāciju.
Lai noteiktu nosacījumus, kādos ECC verifikācija nedarbojas, Ir izstrādāta sacensību metodei līdzīga pārbaudes metode, kas ļauj novērtēt uzbrukuma iespēju konkrētai adresei atmiņā.
Metodes pamatā ir fakts, ka, labojot kļūdu, lasīšanas laiks palielinās, un tā rezultātā kavēšanās ir diezgan izmērāma un pamanāma.
Uzbrukums tiek samazināts līdz secīgiem mēģinājumiem mainīt katru bitu atsevišķi, nosakot izmaiņu panākumus pēc aizkaves parādīšanās, ko izraisa ECC iestatījums.
Tāpēc mašīnvārda meklēšana tiek veikta ar trim mainīgiem bitiem. Pēdējā posmā ir jāpārliecinās, ka trīs maināmie biti divās vietās ir atšķirīgi, un pēc tam mēģiniet mainīt to vērtību vienā piegājienā.
Par demonstrāciju
L Pētnieki veiksmīgi parādīja uzbrukuma iespēju četriem dažādiem serveriem ar DDR3 atmiņu (teorētiski neaizsargāta un DDR4 atmiņa), no kuriem trīs bija aprīkoti ar Intel procesoriem (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) un vienu AMD (Opteron 6376).
En Demonstrācija parāda, ka vajadzīgās bitu kombinācijas atrašana laboratorijā dīkstāves serverī aizņem apmēram 32 minūtes.
Uzbrukuma izdarīšana uz darbojošos serveri ir daudz grūtāka, jo ir iejaukšanās, kas rodas no lietojumprogrammas darbības.
Ražošanas sistēmās var paiet pat nedēļa, lai atrastu nepieciešamo maināmo bitu kombināciju.