Um grupo de pesquisadores da Universidade Livre de Amsterdã desenvolveu uma nova versão avançada do ataque RowHammer, que permite que o conteúdo de bits individuais na memória com base em chips DRAM seja alterado, para proteger a integridade dos códigos de correção de erros (ECC) que são aplicados.
O ataque pode ser realizado remotamente com acesso não privilegiado ao sistemaComo a vulnerabilidade do RowHammer pode distorcer o conteúdo de bits individuais na memória ao ler ciclicamente dados de células de memória vizinhas.
Qual é a vulnerabilidade do RowHammer?
O que o grupo de pesquisadores explica sobre a vulnerabilidade do RowHammer é que este ée baseado na estrutura de uma memória DRAM, porque basicamente esta é uma matriz bidimensional de células em que cada uma dessas células consiste em um capacitor e um transistor.
Assim, a leitura contínua da mesma área de memória leva a flutuações de tensão e anomalias que causam uma pequena perda de carga nas células vizinhas.
Se a intensidade da leitura for grande o suficiente, a célula pode perder uma quantidade suficientemente grande de carga e o próximo ciclo de regeneração não terá tempo para restaurar seu estado original, resultando em uma mudança no valor dos dados armazenados.
Uma nova variante do RowHammer
Até agora, o uso de ECC foi considerado a forma mais confiável de proteção contra os problemas descritos acima.
Mas os pesquisadores conseguiram desenvolver um método para alterar os bits de memória especificados que não ativou um mecanismo de correção de erros.
O método pode ser usado em servidores com memória ECC para modificar dados, substitua o código malicioso e altere os direitos de acesso.
Por ejemplo, en ataques RowHammer demostrados anteriormente, cuando un atacante tenía acceso a una máquina virtual, las actualizaciones del sistema malintencionado se descargaron a través de un cambio en el proceso de apt del nombre del host para descargar y modificar la lógica de verificación de la assinatura digital.
Como essa nova variante funciona?
O que os pesquisadores explicam sobre este novo ataque é que o passo a passo ECC depende de recursos de correção de erros- Se um bit for alterado, o ECC corrigirá o erro, se dois bits forem gerados, uma exceção será lançada e o programa será encerrado à força, mas se três bits forem alterados simultaneamente, o ECC pode não perceber a modificação.
Para determinar as condições sob as quais a verificação ECC não funciona, Foi desenvolvido um método de verificação semelhante ao da corrida que permite avaliar a possibilidade de um ataque para um endereço específico na memória.
O método baseia-se no fato de que, ao corrigir um erro, o tempo de leitura aumenta e o atraso resultante é bastante mensurável e perceptível.
O ataque é reduzido a tentativas sucessivas de alterar cada bit individualmente, determinando o sucesso da alteração pelo aparecimento de um atraso causado por uma configuração ECC.
Portanto, uma busca por palavra de máquina é realizada com três bits variáveis. No último estágio, é necessário certificar-se de que os três bits mutáveis em dois lugares são diferentes e, a seguir, tentar alterar seu valor em uma única passagem.
Sobre a demonstração
Os Os pesquisadores demonstraram com sucesso a possibilidade de um ataque a quatro servidores diferentes com memória DDR3 (teoricamente vulnerável e memória DDR4), três dos quais estavam equipados com processadores Intel (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) e um AMD (Opteron 6376).
En A demonstração mostra que encontrar a combinação necessária de bits no laboratório em um servidor ocioso leva cerca de 32 minutos.
Fazer um ataque em um servidor em execução é muito mais difícil devido à presença de interferência que surge da atividade do aplicativo.
Em sistemas de produção, pode levar até uma semana para encontrar a combinação necessária de bits intercambiáveis.