Un grup de cercetători de la Universitatea Liberă din Amsterdam a dezvoltat o nouă versiune avansată a atacului RowHammer, care permite schimbarea conținutului de biți individuali în memorie pe baza cipurilor DRAM, pentru a proteja integritatea codurilor de corectare a erorilor (ECC) care sunt aplicate.
Atacul poate fi efectuat de la distanță cu acces neprivilegiat la sistemDeoarece vulnerabilitatea RowHammer poate distorsiona conținutul biților individuali din memorie citind ciclic date din celulele de memorie vecine.
Care este vulnerabilitatea RowHammer?
Ceea ce explică grupul de cercetători despre vulnerabilitatea RowHammer, este că acest sSe bazează pe structura unei memorii DRAM, deoarece practic aceasta este o matrice bidimensională de celule din care fiecare dintre aceste celule este formată dintr-un condensator și un tranzistor.
Astfel, citirea continuă a aceleiași zone de memorie duce la fluctuații de tensiune și anomalii care provoacă o mică pierdere de încărcare în celulele vecine.
Dacă intensitatea citirii este suficient de mare, celula poate pierde o cantitate suficient de mare de încărcare și următorul ciclu de regenerare nu va avea timp să-și restabilească starea inițială, rezultând o modificare a valorii datelor stocate în celulă.
O nouă variantă a RowHammer
Pana acum, utilizarea ECC a fost considerată cea mai fiabilă modalitate de a proteja împotriva problemelor descrise mai sus.
Dar cercetătorii au reușit să dezvolte o metodă pentru a schimba biții de memorie specificați care nu a activat un mecanism de corectare a erorilor.
Metoda poate fi utilizat pe servere cu memorie ECC pentru a modifica datele, înlocuiți codul rău intenționat și modificați drepturile de acces.
De exemplu, în atacurile RowHammer demonstrate mai sus, atunci când un atacator a accesat o mașină virtuală, actualizările de sistem rău intenționate au fost descărcate printr-o modificare a procesului apt nume de gazdă pentru a descărca și modifica logica de verificare a semnăturii digitale.
Cum funcționează această nouă variantă?
Ce explică cercetătorii acest nou atac este că pasul ECC se bazează pe caracteristici de corectare a erorilor- Dacă se modifică un bit, ECC va corecta eroarea, dacă sunt ridicați doi biți, se va arunca o excepție și programul va fi terminat forțat, dar dacă trei biți sunt schimbați simultan, ECC poate să nu observe modificarea.
Pentru a determina condițiile în care verificarea ECC nu funcționează, A fost dezvoltată o metodă de verificare similară cu cea a cursei, care permite evaluarea posibilității unui atac pentru o anumită adresă din memorie.
Metoda se bazează pe faptul că, la corectarea unei erori, timpul de citire crește și întârzierea rezultată este destul de măsurabilă și vizibilă.
Atacul se reduce la încercări succesive de a schimba fiecare bit individual, determinând succesul schimbării prin apariția unei întârzieri cauzate de o setare ECC.
Prin urmare, o căutare automată de cuvinte se efectuează cu trei biți variabili. În ultima etapă, este necesar să vă asigurați că cei trei biți mutabili din două locuri sunt diferiți și apoi încercați să schimbați valoarea lor într-o singură trecere.
Despre demo
L Cercetătorii au demonstrat cu succes posibilitatea unui atac pe patru servere diferite cu memorie DDR3 (teoretic vulnerabile și memorie DDR4), dintre care trei erau echipate cu procesoare Intel (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) și un AMD (Opteron 6376).
En Demonstrația arată că găsirea combinației necesare de biți în laborator pe un server inactiv durează aproximativ 32 de minute.
Efectuarea unui atac asupra unui server care rulează este mult mai dificilă datorită prezenței interferențelor care apar din activitatea aplicației.
În sistemele de producție, poate dura până la o săptămână pentru a găsi combinația necesară de biți interschimbabili.