Группа исследователей из Швейцарской высшей технической школы в Цюрихе, Свободного университета Амстердама и Qualcomm выпустили новый метод атаки RowHammer, который изменяет содержимое отдельные биты динамической памяти с произвольным доступом (ДОЗУ).
Атака получила кодовое название Кузнец, представившийся как CVE-2021-42114 и это влияет на многие микросхемы DDR4, которые защищены от ранее известных методов класса RowHammer, но с этим новым вариантом они затронуты проблемой.
Для тех, кто не знает, что это за атака Роухаммер, Я могу вам сказать, что это позволяют искажать содержимое отдельных битов памяти путем циклического чтения данных из соседних ячеек памяти. Поскольку DRAM представляет собой двумерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, непрерывное считывание в одной и той же области памяти приводит к колебаниям напряжения и аномалиям, вызывая небольшую потерю заряда в соседних ячейках. Если интенсивность чтения высока, то соседняя ячейка может потерять достаточно большое количество заряда, и следующий цикл регенерации не успеет восстановить исходное состояние, что приведет к изменению значения данных, хранящихся в ячейке. .
Для защиты от RowHammer производители микросхем предложили механизм TRR. (Обновление целевой строки), который защищает от повреждения ячеек в соседних строках, но поскольку защита основана на принципе «безопасность посредством неизвестности», она не решает проблему в корне, а защищает только от известных особых случаев, что облегчило поиск способов обхода защиты. Например, в мае, Google предложил метод Half-Double, на который не повлияла защита TRR, поскольку атака затронула клетки, которые не были непосредственно примыкают к цели.
Новый метод Blacksmith предлагает другой способ обойти защиту TRR, основанный на неоднородной обработке с разной частотой двух или более цепей-агрессоров, чтобы вызвать утечки нагрузки.
Чтобы определить схему доступа к памяти, которая приводит к перегреву нагрузки, разработан специальный фаззер, который автоматически подбирает параметры атаки для конкретного чипа, варьируя порядок, интенсивность и систематизацию доступа к ячейкам.
Такой подход, не связанный с воздействием одних и тех же ячеек, делает неэффективными существующие методы TRR-защиты, которые так или иначе сводятся к подсчету количества повторных обращений к ячейкам и по достижению определенных значений - началу перезарядки. из соседних ячеек. В Blacksmith схема доступа распространяется одновременно на несколько ячеек с разных сторон цели, что позволяет утечку заряда без достижения пороговых значений.
Метод оказался намного эффективнее предложенных ранее способов обхода TRR.- Исследователям удалось добиться битового искажения на 40 различных микросхемах памяти DDR4, недавно приобретенных у Samsung, Micron, SK Hynix и неизвестного производителя (производитель не был указан на 4 микросхемах). Для сравнения, ранее предложенный теми же исследователями метод TRRespass оказался эффективным только для 13 из 42 протестированных на тот момент чипов.
Вообще говоря, предполагается, что метод Blacksmith подходит для 94% всех чипов DRAM на рынке.Но, по мнению исследователей, некоторые чипы более уязвимы и их легче атаковать, чем другие. Использование кодов коррекции ошибок (ECC) и удвоение частоты обновления микросхем не обеспечивает полной защиты, но усложняет работу.
Примечательно, что проблема не может быть заблокирована на уже выпущенных микросхемах и требует внедрения новой защиты. на аппаратном уровне, поэтому атака будет актуальна долгие годы.
В качестве практических примеров, методы использования Blacksmith для изменения содержимого записей таблицы страниц памяти (PTE, запись таблицы страниц) для получения привилегий ядра повреждают открытый ключ RSA-2048, хранящийся в памяти в OpenSSH (вы можете принести открытый ключ на внешней виртуальной машине, чтобы соответствовать закрытому ключу злоумышленника для подключения к виртуальной машине жертвы) и обойти проверку авторизации, изменив память процесса sudo для получения привилегий root. В зависимости от чипа изменение целевого бита может занять от 3 секунд до нескольких часов, прежде чем произойдет атака.
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.