Een groep onderzoekers van de Vrije Universiteit van Amsterdam heeft een nieuwe geavanceerde versie van de RowHammer-aanval ontwikkeld, waarmee de inhoud van individuele bits in het geheugen op basis van DRAM-chips kan worden gewijzigd, om de integriteit van de toegepaste foutcorrectiecodes (ECC) te beschermen.
De aanval kan op afstand worden uitgevoerd met niet-geprivilegieerde toegang tot het systeemOmdat de RowHammer-kwetsbaarheid de inhoud van individuele bits in het geheugen kan verstoren door cyclisch gegevens uit aangrenzende geheugencellen te lezen.
Wat is de kwetsbaarheid van RowHammer?
Voor wat de groep onderzoekers uitlegt over de RowHammer-kwetsbaarheid, is dat dit se gebaseerd op de structuur van een DRAM-geheugen, omdat dit in feite een tweedimensionale matrix van cellen is waarvan elk van deze cellen bestaat uit een condensator en een transistor.
Het continu uitlezen van hetzelfde geheugengebied leidt dus tot spanningsfluctuaties en anomalieën die een klein ladingsverlies van de naburige cellen veroorzaken.
Als de intensiteit van de aflezing groot genoeg is, kan de cel een voldoende grote hoeveelheid lading verliezen en heeft de volgende regeneratiecyclus geen tijd om de oorspronkelijke staat te herstellen, wat resulteert in een verandering in de waarde van de opgeslagen gegevens in de cel.
Een nieuwe variant van RowHammer
Hasta ahora, het gebruik van ECC werd beschouwd als de meest betrouwbare manier om u te beschermen tegen de hierboven beschreven problemen.
Maar de onderzoekers slaagden erin een methode te ontwikkelen om de gespecificeerde geheugenbits te veranderen dat geen foutcorrectiemechanisme activeerde.
De methode kan worden gebruikt op servers met ECC-geheugen om gegevens te wijzigen, vervang kwaadaardige code en wijzig toegangsrechten.
In de hierboven beschreven RowHammer-aanvallen werden bijvoorbeeld kwaadaardige systeemupdates gedownload wanneer een aanvaller toegang kreeg tot een virtuele machine via een wijziging in het hostnaam apt-proces om de verificatielogica van de hostnaam te downloaden en te wijzigen. Digitale handtekening.
Hoe werkt deze nieuwe variant?
Wat de onderzoekers uitleggen Deze nieuwe aanval is dat de ECC-walkthrough afhankelijk is van foutcorrectiefuncties- Als één bit wordt gewijzigd, zal de ECC de fout corrigeren.Als twee bits worden verhoogd, wordt er een uitzondering gegenereerd en wordt het programma gedwongen beëindigd, maar als drie bits tegelijkertijd worden gewijzigd, merkt de ECC de wijziging mogelijk niet op.
Om te bepalen onder welke omstandigheden ECC-verificatie niet werkt, Een verificatiemethode vergelijkbaar met die van de race is ontwikkeld waarmee de mogelijkheid van een aanval voor een specifiek adres in het geheugen kan worden geëvalueerd.
De methode is gebaseerd op het feit dat bij het corrigeren van een fout de leestijd toeneemt en de resulterende vertraging behoorlijk meetbaar en merkbaar is.
De aanval wordt gereduceerd tot opeenvolgende pogingen om elk bit afzonderlijk te veranderen, waarbij het succes van de verandering wordt bepaald door het verschijnen van een vertraging veroorzaakt door een ECC-instelling.
Daarom wordt een machinewoordonderzoek uitgevoerd met drie variabele bits. In de laatste fase is het nodig om ervoor te zorgen dat de drie veranderlijke bits op twee plaatsen verschillend zijn, en probeer vervolgens hun waarde in één keer te veranderen.
Over de demo
De Onderzoekers hebben met succes de mogelijkheid aangetoond van een aanval op vier verschillende servers met DDR3-geheugen (theoretisch kwetsbaar en DDR4-geheugen), waarvan er drie waren uitgerust met Intel-processors (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) en één AMD (Opteron 6376).
En De demonstratie laat zien dat het vinden van de vereiste combinatie van bits in het lab op een inactieve server ongeveer 32 minuten duurt.
Een aanval uitvoeren op een actieve server is veel moeilijker vanwege de aanwezigheid van interferentie die voortkomt uit de activiteit van de applicatie.
In productiesystemen kan het tot een week duren om de gewenste combinatie van verwisselbare bits te vinden.