Sekumpulan penyelidik dari Sekolah Teknikal Tinggi Swiss di Zurich, Universiti Percuma Amsterdam dan Qualcomm telah mengeluarkan kaedah serangan RowHammer baharu yang mengubah kandungan bit individu memori capaian rawak dinamik (DRAMS).
Serangan itu diberi nama kod Tukang besi yang mengenal pasti dirinya sebagai CVE-2021-42114 dan itu menjejaskan banyak cip DDR4, yang dilindungi daripada kaedah kelas RowHammer yang diketahui sebelum ini, tetapi dengan varian baharu ini mereka terjejas oleh masalah tersebut.
Bagi mereka yang tidak tahu apa jenis serangan itu RowHammer, saya boleh memberitahu anda bahawa ini membolehkan anda memesongkan kandungan bit ingatan individu dengan membaca data secara kitaran daripada sel memori jiran. Memandangkan DRAM ialah tatasusunan sel dua dimensi, setiap satunya terdiri daripada kapasitor dan transistor, mengambil bacaan berterusan dalam kawasan ingatan yang sama mengakibatkan turun naik voltan dan anomali, menyebabkan kehilangan kecil cas dalam sel jiran. Jika keamatan bacaan adalah tinggi, maka sel jiran mungkin kehilangan jumlah cas yang cukup besar dan kitaran penjanaan semula seterusnya tidak akan mempunyai masa untuk memulihkan keadaan asalnya, yang akan membawa kepada perubahan dalam nilai data yang disimpan dalam sel sel.
Untuk melindungi daripada RowHammer, pembuat cip mencadangkan mekanisme TRR (Target Row Refresh), yang melindungi daripada kerosakan sel dalam baris bersebelahan, tetapi oleh kerana perlindungan itu berdasarkan prinsip "keselamatan oleh ketidakjelasan", ia tidak menyelesaikan masalah pada akarnya, tetapi hanya dilindungi daripada kes khas yang diketahui, yang memudahkan pencarian cara untuk memintas perlindungan. Sebagai contoh, pada bulan Mei, Google mencadangkan kaedah Half-Double, yang tidak terjejas oleh perlindungan TRR, kerana serangan itu menjejaskan sel yang tidak bersebelahan langsung dengan sasaran.
Kaedah baru Tukang besi menawarkan cara berbeza untuk memintas perlindungan TRR, berdasarkan rawatan tidak homogen dengan frekuensi yang berbeza kepada dua atau lebih rantai penceroboh untuk menyebabkan kebocoran beban.
Untuk menentukan corak capaian memori yang membawa kepada haba beban, fuzzer khas telah dibangunkan, yang secara automatik memilih parameter serangan untuk cip tertentu, mengubah susunan, keamatan dan pensisteman akses kepada sel.
Pendekatan sedemikian, yang tidak dikaitkan dengan pendedahan kepada sel yang sama, menjadikan kaedah perlindungan TRR semasa tidak berkesan, yang satu atau lain cara dikurangkan untuk mengira bilangan panggilan berulang ke sel dan, apabila mencapai nilai tertentu, mula mengecas semula. daripada sel jiran. Di Blacksmith, corak capaian tersebar merentasi berbilang sel serentak pada sisi sasaran yang berbeza, membenarkan kebocoran cas tanpa mencapai nilai ambang.
Kaedah itu ternyata jauh lebih berkesan daripada kaedah yang dicadangkan sebelum ini dalam memintas TRR- Penyelidik berjaya mencapai herotan bit pada 40 cip memori DDR4 berbeza yang dibeli baru-baru ini daripada Samsung, Micron, SK Hynix dan pengeluar yang tidak diketahui (pengeluar tidak dinyatakan pada 4 cip). Sebagai perbandingan, kaedah TRRespass yang sebelum ini dicadangkan oleh penyelidik yang sama ternyata berkesan untuk hanya 13 daripada 42 cip yang diuji pada masa itu.
Secara umumnya, diandaikan bahawa kaedah Blacksmith boleh digunakan untuk 94% daripada semua cip DRAM di pasaranTetapi menurut penyelidik, sesetengah cip lebih terdedah dan lebih mudah diserang daripada yang lain. Menggunakan kod pembetulan ralat (ECC) dan menggandakan kadar penyegaran pada cip tidak memberikan perlindungan lengkap, tetapi ia menyukarkan operasi.
Perlu diperhatikan bahawa masalah itu tidak boleh disekat pada cip yang telah dikeluarkan dan memerlukan pelaksanaan perlindungan baharu pada peringkat perkakasan, jadi serangan itu akan kekal relevan selama bertahun-tahun.
Sebagai contoh praktikal, kaedah menggunakan Blacksmith untuk menukar kandungan entri jadual halaman memori (PTE, entri jadual halaman) untuk mendapatkan keistimewaan kernel, merosakkan kunci awam RSA-2048 yang disimpan dalam ingatan dalam OpenSSH (anda boleh membawa kunci awam dalam mesin maya asing untuk memadankan kunci peribadi penyerang untuk menyambung ke mesin maya mangsa) dan memintas semakan kebenaran dengan mengubah suai memori proses sudo untuk mendapatkan keistimewaan root. Bergantung pada cip, menukar bit sasaran mengambil masa antara 3 saat dan beberapa jam untuk serangan berlaku.
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya Dalam pautan berikut.