Sekumpulan penyelidik dari Free University of Amsterdam telah mengembangkan versi baru serangan RowHammer, yang membolehkan kandungan bit individu diubah dalam memori berdasarkan cip DRAM, untuk melindungi integriti kod pembetulan ralat (ECC) yang diterapkan.
Serangan dapat dilakukan dari jarak jauh dengan akses tidak istimewa ke sistemKerana kerentanan RowHammer dapat memutarbelitkan kandungan bit individu dalam memori dengan membaca data secara berkala dari sel memori yang berdekatan.
Apakah kerentanan RowHammer?
Apa yang dijelaskan oleh kumpulan penyelidik mengenai kerentanan RowHammer, adakah inie berdasarkan struktur memori DRAM, kerana pada dasarnya ini adalah matriks dua dimensi sel yang masing-masing selnya terdiri daripada kapasitor dan transistor.
Oleh itu, pembacaan berterusan kawasan memori yang sama menyebabkan turun naik voltan dan anomali yang menyebabkan kehilangan cas kecil pada sel yang berdekatan.
Sekiranya intensiti pembacaan cukup besar, sel mungkin kehilangan muatan yang cukup besar dan kitaran regenerasi seterusnya tidak akan mempunyai masa untuk memulihkan keadaan asalnya, yang mengakibatkan perubahan nilai data yang disimpan. Dalam sel.
Varian baru RowHammer
Sehingga kini, menggunakan ECC dianggap sebagai kaedah yang paling dipercayai untuk melindungi daripada masalah yang dijelaskan di atas.
Tetapi penyelidik berjaya mengembangkan kaedah untuk menukar bit memori yang ditentukan yang tidak mengaktifkan mekanisme pembetulan ralat.
Kaedah ini dapat digunakan pada pelayan dengan memori ECC untuk mengubah data, ganti kod jahat dan ubah hak akses.
Sebagai contoh, dalam serangan RowHammer yang ditunjukkan di atas, ketika penyerang mengakses mesin maya, kemas kini sistem berniat jahat dimuat turun melalui perubahan dalam proses nama host untuk memuat turun dan mengubah logik pengesahan nama host. Tandatangan digital.
Bagaimana varian baru ini berfungsi?
Apa yang dijelaskan oleh penyelidik serangan baru ini adalah bahawa panduan ECC bergantung pada ciri pembetulan ralat- Jika satu bit diubah, ECC akan membetulkan kesalahan, jika dua bit dinaikkan, pengecualian akan dilemparkan dan program akan dihentikan secara paksa, tetapi jika tiga bit diubah secara serentak, ECC mungkin tidak memperhatikan pengubahsuaiannya.
Untuk menentukan keadaan di mana pengesahan ECC tidak berfungsi, Kaedah pengesahan yang serupa dengan perlumbaan telah dikembangkan yang memungkinkan kemungkinan serangan dinilai untuk alamat tertentu dalam ingatan.
Kaedah ini didasarkan pada fakta bahawa, ketika memperbaiki kesalahan, waktu membaca meningkat dan kelewatan yang dihasilkan cukup terukur dan dapat dilihat.
Serangan dikurangkan menjadi percubaan berturut-turut untuk mengubah setiap bit secara individu, menentukan kejayaan perubahan dengan munculnya kelewatan yang disebabkan oleh pengaturan ECC.
Oleh itu, carian kata mesin dilakukan dengan tiga bit berubah. Pada peringkat terakhir, perlu memastikan bahawa tiga bit yang dapat diubah di dua tempat berbeza, dan kemudian cuba mengubah nilainya dalam satu hantaran.
Mengenai demo
The Penyelidik berjaya menunjukkan kemungkinan serangan pada empat pelayan yang berbeza dengan memori DDR3 (rentan teorinya dan memori DDR4), tiga di antaranya dilengkapi dengan pemproses Intel (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1), dan satu AMD (Opteron 6376).
En Demonstrasi menunjukkan bahawa mencari gabungan bit yang diperlukan di makmal pada pelayan yang tidak berfungsi memerlukan masa lebih kurang 32 minit.
Membuat serangan pada pelayan yang sedang berjalan jauh lebih sukar kerana adanya gangguan yang timbul dari aktiviti aplikasi.
Dalam sistem pengeluaran, memerlukan masa hingga seminggu untuk mencari kombinasi bit yang boleh ditukar yang diperlukan.