Een groep onderzoekers van de Zwitserse Hogere Technische School in Zürich, de Vrije Universiteit van Amsterdam en Qualcomm hebben een nieuwe RowHammer-aanvalsmethode uitgebracht die de inhoud van individuele bits dynamisch willekeurig toegankelijk geheugen (DRAMS).
De aanval kreeg de codenaam Smid die zichzelf identificeerde als CVE-2021-42114 en dat treft veel DDR4-chips, die zijn beschermd tegen de eerder bekende methoden van de RowHammer-klasse, maar met deze nieuwe variant hebben ze last van het probleem.
Voor degenen die niet weten wat voor soort aanval het is RijHammer, ik kan je vertellen dat dit kunt u de inhoud van afzonderlijke geheugenbits vervormen door cyclisch gegevens uit aangrenzende geheugencellen te lezen. Aangezien DRAM een tweedimensionale reeks cellen is, die elk uit een condensator en een transistor bestaan, leidt het continu uitvoeren van metingen in hetzelfde geheugengebied tot spanningsschommelingen en afwijkingen, waardoor een klein verlies van lading in aangrenzende cellen wordt veroorzaakt. Als de leesintensiteit hoog is, kan de aangrenzende cel voldoende lading verliezen en heeft de volgende regeneratiecyclus geen tijd om de oorspronkelijke staat te herstellen, wat zal leiden tot een verandering in de waarde van de gegevens die in de cel zijn opgeslagen cel.
Om te beschermen tegen RowHammer, hebben de chipmakers een TRR-mechanisme voorgesteld (Target Row Refresh), dat beschermt tegen corruptie van cellen in aangrenzende rijen, maar aangezien de bescherming was gebaseerd op het principe van "security by obscurity", loste het het probleem niet bij de wortel op, maar beschermde het alleen tegen bekende speciale gevallen, waardoor het zoeken naar manieren om de bescherming te omzeilen werd vergemakkelijkt. Bijvoorbeeld in mei, stelde Google de Half-Double-methode voor, die niet werd beïnvloed door TRR-bescherming, omdat de aanval cellen trof die niet direct naast het doelwit lagen.
De nieuwe methode van Blacksmith biedt een andere manier om TRR-bescherming te omzeilen, gebaseerd op een inhomogene behandeling met verschillende frequenties om twee of meer agressorketens te laten lekken.
Om het geheugentoegangspatroon te bepalen dat leidt tot het laden van warmte, er is een speciale fuzzer ontwikkeld, die automatisch de aanvalsparameters voor een bepaalde chip selecteert, variërend van de volgorde, intensiteit en systematisering van toegang tot cellen.
Een dergelijke benadering, die niet gepaard gaat met blootstelling aan dezelfde cellen, maakt de huidige TRR-beschermingsmethoden ondoeltreffend, die op de een of andere manier worden teruggebracht tot het tellen van het aantal herhaalde oproepen naar cellen en, bij het bereiken van bepaalde waarden, beginnen met opladen. naburige cellen. Bij Blacksmith is het toegangspatroon verspreid over meerdere cellen tegelijk aan verschillende kanten van het doel, waardoor lading kan lekken zonder drempelwaarden te bereiken.
De methode bleek veel effectiever dan eerder voorgestelde methoden bij het omzeilen van TRR- Onderzoekers zijn erin geslaagd om bitvervorming te bereiken op 40 verschillende DDR4-geheugenchips die onlangs zijn gekocht bij Samsung, Micron, SK Hynix en een onbekende fabrikant (de fabrikant was niet gespecificeerd op 4 chips). Ter vergelijking: de eerder door dezelfde onderzoekers voorgestelde TRRespass-methode bleek voor slechts 13 van de 42 destijds geteste chips effectief te zijn.
Over het algemeen wordt aangenomen dat de methode Blacksmith is toepasbaar op 94% van alle DRAM-chips op de marktMaar volgens de onderzoekers zijn sommige chips kwetsbaarder en makkelijker aan te vallen dan andere. Het gebruik van foutcorrectiecodes (ECC) en het verdubbelen van de verversingssnelheid op de chips biedt geen volledige bescherming, maar bemoeilijkt de bediening.
Het is opmerkelijk dat het probleem niet kan worden geblokkeerd op reeds vrijgegeven chips en vereist de implementatie van een nieuwe bescherming op hardwareniveau, dus de aanval blijft jarenlang relevant.
Als praktische voorbeelden: de methoden om Blacksmith te gebruiken om de inhoud van de geheugenpaginatabelinvoer (PTE, paginatabelinvoer) te wijzigen om kernelprivileges te verkrijgen, corrumpeert de openbare RSA-2048-sleutel die in het geheugen in OpenSSH is opgeslagen (u kunt de openbare sleutel in een vreemde virtuele machine om de privésleutel van de aanvaller te matchen om verbinding te maken met de virtuele machine van het slachtoffer) en de autorisatiecontrole omzeilen door het geheugen van het sudo-proces te wijzigen om rootrechten te verkrijgen. Afhankelijk van de chip duurt het wisselen van een doelbit tussen 3 seconden en enkele uren voordat de aanval plaatsvindt.
Eindelijk als u er meer over wilt weten, kunt u de details bekijken In de volgende link.