Група истраживача са Слободног универзитета у Амстердаму развила је нову напредну верзију напада РовХаммер, који омогућава промену садржаја појединачних битова у меморији на основу ДРАМ чипова ради заштите интегритета примењених кодова за исправљање грешака (ЕЦЦ).
Напад се може извршити на даљину са непривилегованим приступом системуКако РовХаммер рањивост може искривити садржај појединачних битова у меморији цикличким читањем података из суседних меморијских ћелија.
Шта је РовХаммер рањивост?
Оно што група истраживача објашњава о рањивости РовХаммер, јесте да је ово се засновано на структури ДРАМ меморије, јер је у основи ово дводимензионална матрица ћелија од којих се свака од ових ћелија састоји од кондензатора и транзистора.
Тако континуирано очитавање исте меморијске области доводи до флуктуација напона и аномалија које узрокују мали губитак наелектрисања у суседним ћелијама.
Ако је интензитет очитавања довољно велик, ћелија може изгубити довољно велику количину наелектрисања и следећи циклус регенерације неће имати времена да обнови првобитно стање, што резултира променом вредности ускладиштених података у ћелији.
Нова варијанта РовХаммер-а
До сада, коришћење ЕЦЦ сматрало се најпоузданијим начином заштите од горе описаних проблема.
Крушка истраживачи су успели да развију методу за промену наведених меморијских битова који није активирао механизам за исправљање грешака.
Метода може се користити на серверима са ЕЦЦ меморијом за модификовање података, замени злонамерни код и промени права приступа.
На пример, у горе приказаним нападима РовХаммер, када је нападач приступио виртуелној машини, злонамерна ажурирања система су преузета променом у процесу апт имена хоста да би преузела и изменила логику верификације дигиталног потписа хоста.
Како функционише ова нова варијанта?
О чему истраживачи објашњавају овај нови напад је у томе што се ЕЦЦ пролазак ослања на функције исправљања грешака- Ако се промени један бит, ЕЦЦ ће исправити грешку, ако се подигну два бита, избациће се изузетак и програм ће се насилно прекинути, али ако се истовремено промене три бита, ЕЦЦ можда неће приметити модификацију.
Да бисте утврдили услове под којима ЕЦЦ верификација не функционише, Развијена је метода верификације слична оној у трци која омогућава процену могућности напада за одређену адресу у меморији.
Метода се заснива на чињеници да се приликом исправљања грешке време читања повећава и резултујуће кашњење је прилично мерљиво и уочљиво.
Напад се своди на узастопне покушаје промене сваког бита појединачно, одређујући успех промене појавом кашњења изазваног ЕЦЦ подешавањем.
Стога се машинско тражење речи врши са три променљива бита. У последњој фази потребно је осигурати да се три променљива бита на два места разликују, а затим покушати да промене вредност у једном пролазу.
О демо
Л Истраживачи су успешно демонстрирали могућност напада на четири различита сервера са ДДР3 меморијом (теоретски рањива и ДДР4 меморија), од којих су три била опремљена Интел процесорима (Е3-1270 в3, Ксеон Е5-2650 в1, Интел Ксеон Е5-2620 в1) и једним АМД-ом (Оптерон 6376).
En Демонстрација показује да проналажење потребне комбинације битова у лабораторији на неактивном серверу траје око 32 минута.
Напад на покренут сервер је много тежи због присуства сметњи које произилазе из активности апликације.
У производним системима може потрајати и недељу дана да се пронађе потребна комбинација заменљивих битова.