Grupa naukowców z Free University of Amsterdam opracowała nową, zaawansowaną wersję ataku RowHammer, która umożliwia zmianę zawartości poszczególnych bitów w pamięci opartej na układach DRAM, aby chronić integralność stosowanych kodów korekcji błędów (ECC).
Atak może zostać przeprowadzony zdalnie z nieuprzywilejowanym dostępem do systemuPonieważ podatność RowHammer może zniekształcać zawartość poszczególnych bitów w pamięci poprzez cykliczne odczytywanie danych z sąsiednich komórek pamięci.
Co to jest luka RowHammer?
To, co grupa naukowców wyjaśnia na temat luki RowHammer, jest takie, że jest toe oparty na strukturze pamięci DRAM, ponieważ w zasadzie jest to dwuwymiarowa macierz komórek, z których każda z tych komórek składa się z kondensatora i tranzystora.
Stąd ciągłe odczytywanie tego samego obszaru pamięci prowadzi do wahań napięcia i anomalii, które powodują niewielką utratę ładunku w sąsiednich komórkach.
Jeśli intensywność odczytu jest dostatecznie duża, komórka może stracić dostatecznie dużą ilość ładunku i kolejny cykl regeneracji nie będzie miał czasu na przywrócenie jej pierwotnego stanu, co skutkuje zmianą wartości przechowywanych danych w komórce.
Nowy wariant RowHammera
Do tej pory użycie ECC zostało uznane za najbardziej niezawodny sposób ochrony przed opisanymi powyżej problemami.
Pero badaczom udało się opracować metodę zmiany określonych bitów pamięci który nie aktywował mechanizmu korekcji błędów.
Metoda może być używany na serwerach z pamięcią ECC do modyfikacji danych, zastąp złośliwy kod i zmień prawa dostępu.
Na przykład w atakach RowHammer przedstawionych powyżej, kiedy atakujący uzyskał dostęp do maszyny wirtualnej, złośliwe aktualizacje systemu były pobierane poprzez zmianę w procesie apt nazwa hosta, aby pobrać i zmodyfikować logikę weryfikacji nazwy hosta. Podpis cyfrowy.
Jak działa ten nowy wariant?
O czym wyjaśniają naukowcy ten nowy atak polega na tym, że przewodnik ECC opiera się na funkcjach korekcji błędów- Jeśli jeden bit zostanie zmieniony, ECC poprawi błąd, jeśli zostaną podniesione dwa bity, zostanie zgłoszony wyjątek i program zostanie wymuszony zakończony, ale jeśli trzy bity zostaną zmienione jednocześnie, ECC może nie zauważyć zmiany.
Aby określić warunki, w których weryfikacja ECC nie działa, Opracowano metodę weryfikacji podobną do tej z wyścigu, która pozwala ocenić możliwość ataku na określony adres w pamięci.
Metoda opiera się na fakcie, że podczas korygowania błędu wydłuża się czas odczytu, a wynikające z tego opóźnienie jest dość mierzalne i zauważalne.
Atak sprowadza się do kolejnych prób zmiany każdego bitu z osobna, określając powodzenie zmiany przez pojawienie się opóźnienia spowodowanego ustawieniem ECC.
Dlatego wyszukiwanie słów maszynowych jest wykonywane z trzema zmiennymi bitami. W ostatnim etapie należy upewnić się, że trzy zmienne bity w dwóch miejscach są różne, a następnie spróbować zmienić ich wartość w jednym przebiegu.
O wersji demonstracyjnej
L Badacze z powodzeniem wykazali możliwość ataku na cztery różne serwery z pamięcią DDR3 (teoretycznie wrażliwa i pamięć DDR4), z których trzy były wyposażone w procesory Intel (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) i jeden AMD (Opteron 6376).
En Demonstracja pokazuje, że znalezienie wymaganej kombinacji bitów w laboratorium na bezczynnym serwerze zajmuje około 32 minut.
Dokonanie ataku na działający serwer jest znacznie utrudnione ze względu na występowanie zakłóceń, które wynikają z działania aplikacji.
W systemach produkcyjnych znalezienie wymaganej kombinacji wymiennych bitów może zająć nawet tydzień.