Een team van onderzoekers van de Vrije Universiteit van Amsterdam, de Zwitserse Hogere Technische School van Zürich en Qualcomm heeft een onderzoek uitgevoerd naar de effectiviteit van bescherming tegen De aanvallen RijHammer gebruikt in DDR4-geheugenchips, waarmee de inhoud van individuele bits van Dynamic Random Access Memory (DRAM) kan worden gewijzigd.
De resultaten waren teleurstellend aangezien DDR4 kwetsbaar blijft (CVE-2020 tot 10.255) voor RowHammer, zoals deze bug staat het vervormen van de bitinhoud toe individueel geheugen cyclisch lezen van gegevens uit naburige geheugencellen.
Omdat DRAM een tweedimensionale reeks cellen is, die elk uit een condensator en een transistor bestaan, leidt continu uitlezen van hetzelfde geheugengebied tot spanningsfluctuaties en anomalieën, waardoor een kleine drukval van naburige cellen ontstaat.
Als de leesintensiteit groot genoeg is, kan de cel voldoende lading verliezen en heeft de volgende regeneratiecyclus geen tijd om de oorspronkelijke staat te herstellen, wat zal leiden tot een verandering in de waarde van de gegevens die in de cel zijn opgeslagen. .
Om dit effect te blokkeren, gebruiken moderne DDR4-chips TRR-technologie. (Target Row Refresh), die is ontworpen om celvervorming tijdens een RowHammer-aanval te voorkomen.
Het probleem is dat er is geen uniforme benadering voor TRR-implementatie en elke CPU- en geheugenfabrikant interpreteert TRR op hun eigen manier, met gebruikmaking van hun eigen beschermingsopties en zonder implementatiedetails vrij te geven.
Door de methoden te bestuderen die door fabrikanten worden gebruikt om RowHammer te blokkeren, is het gemakkelijk om manieren te vinden om de bescherming te omzeilen.
Tijdens de verificatie bleek dat het "security by obscurity" -principe dat door fabrikanten wordt gebruikt tijdens TRR-implementatie alleen bescherming biedt in speciale gevallen, waarbij het typische aanvallen dekt die de verandering in celbelasting in een of twee aangrenzende rijen manipuleren.
Met het door de onderzoekers ontwikkelde hulpprogramma kunnen we de gevoeligheid van de chips testen aan de multilaterale RowHammer-aanvalsopties, die probeert het laden van meerdere rijen geheugencellen tegelijkertijd te beïnvloeden.
Dergelijke aanvallen kunnen TRR-bescherming omzeilen geïmplementeerd door sommige fabrikanten en leiden tot geheugenbitvervorming, zelfs op nieuwere computers met DDR4-geheugen.
Van de 42 onderzochte DIMM's waren er 13 kwetsbaar naar niet-standaard RowHammer-aanvalsopties, ondanks geclaimde bescherming. SK Hynix, Micron en Samsung lanceren problematische modules, waarvan de producten 95% van de DRAM-markt beslaan.
Naast DDR4, LPDDR4-chips die in mobiele apparaten worden gebruikt, werden ook bestudeerdDat ze waren ook gevoelig voor geavanceerde RowHammer-aanvalsopties. Met name het geheugen dat wordt gebruikt in de Google Pixel-, Google Pixel 3-, LG G7-, OnePlus 7- en Samsung Galaxy S10-smartphones werd beïnvloed.
De onderzoekers konden verschillende exploitatietechnieken reproduceren op DDR4-chips lastig.
Het gebruik van de RowHammer-exploit voor PTE (paginatabelinvoer) vereist om het privilege van een aanvalskernel te verkrijgen binnen 2.3 seconden tot drie uur en vijftien seconden, afhankelijk van de chips die worden getest.
Een schade-aanval op een openbare RSA-2048-sleutel die in het geheugen was opgeslagen, duurde 74.6 seconden tot 39 minuten en 28 seconden. Een aanval om autorisatie te vermijden door het geheugen van het sudo-proces te wijzigen, duurde 54 minuten en 16 seconden.
Om DDR4-geheugenchips te testen gebruikt door gebruikers, TRRespass-hulpprogramma vrijgegeven Een succesvolle aanval vereist informatie over de lay-out van de fysieke adressen die in de geheugencontroller worden gebruikt in relatie tot banken en rijen geheugencellen.
Om de lay-out te bepalen, het drama-hulpprogramma werd verder ontwikkeld, waarvoor je moet beginnen met root-privileges. In de nabije toekomst is het ook de bedoeling om een applicatie te publiceren om het geheugen van smartphones te testen.
Intel- en AMD-bedrijven raden aan om het gebruik van geheugen te beschermen met foutcorrectie (ECC), geheugencontrollers met ondersteuning voor MAC en een hogere verversingssnelheid toe te passen.
bron: https://www.vusec.net