Ett team av forskare Free University of Amsterdam, Swiss Higher Technical School of Zurich och Qualcomm genomfört en studie om effektiviteten av skydd mot Attacken RowHammer används i DDR4-minneschip, som gör det möjligt att ändra innehållet i enskilda bitar av DRAM (Dynamic Random Access Memory).
Resultaten var nedslående eftersom DDR4 förblir sårbart (CVE-2020-10.255) för RowHammer, som denna fel gör det möjligt att snedvrida bitinnehållet individuellt minne cykliskt läsa data från angränsande minnesceller.
Eftersom DRAM är en tvådimensionell cellmassa, som var och en består av en kondensator och en transistor, leder kontinuerlig avläsning från samma minnesområde till spänningsvariationer och avvikelser, vilket orsakar ett litet tryckfall från närliggande celler.
Om läsintensiteten är tillräckligt stor kan cellen förlora tillräckligt mycket laddning och nästa regenereringscykel kommer inte att ha tid att återställa sitt ursprungliga tillstånd, vilket kommer att leda till en förändring av värdet på de data som lagras i cellen .
För att blockera denna effekt använder moderna DDR4-chips TRR-teknik. (Target Row Refresh), som är utformad för att förhindra cellförvrängning under en RowHammer-attack.
Problemet är det Det finns ingen enhetlig strategi för implementering av TRR och varje processor och minnetillverkare tolkar TRR på sitt eget sätt med hjälp av sina egna skyddsalternativ och utan att avslöja implementeringsdetaljer.
Att studera de metoder som tillverkarna använde för att blockera RowHammer gjorde det enkelt att hitta vägar kring skydd.
Under verifieringen visade det sig att principen "säkerhet genom dunkel" som används av tillverkare under TRR-implementering endast hjälper till att skydda i speciella fall och täcker typiska attacker som manipulerar förändringen i cellbelastning i en eller två intilliggande rader.
Verktyget utvecklat av forskarna gör det möjligt för oss att testa chipsens mottaglighet till de multilaterala RowHammer-attackalternativen, där man försöker påverka laddningen av flera rader med minnesceller samtidigt.
Sådana attacker kan kringgå TRR-skyddet implementeras av vissa tillverkare och leder till minnesbitförvrängning även på nyare datorer med DDR4-minne.
Av de 42 studerade DIMM-modulerna var 13 utsatta till icke-standardiserade RowHammer-attackalternativ, trots påstått skydd. SK Hynix, Micron och Samsung lanserar problematiska moduler, vars produkter täcker 95% av DRAM-marknaden.
Förutom DDR4, LPDDR4-chips som används i mobila enheter studerades ocksåAtt de var också känsliga för avancerade RowHammer-attackalternativ. I synnerhet påverkades minnet som användes i Google Pixel, Google Pixel 3, LG G7, OnePlus 7 och Samsung Galaxy S10-smartphones.
Forskarna kunde reproducera olika exploateringstekniker på DDR4-chips besvärlig.
Användningen av RowHammer-utnyttjandet för PTE (sidtabellposter) krävs för att få privilegiet för en attackkärna inom 2.3 sekunder till tre timmar och femton sekunder, beroende på vilka marker som testas.
En skadaattack mot en RSA-2048 offentlig nyckel lagrad i minnet tog från 74.6 sekunder till 39 minuter och 28 sekunder. En attack för att undvika auktorisering genom att ändra minnet i sudoprocessen tog 54 minuter och 16 sekunder.
För att testa DDR4-minneschip används av användare, TRRespass-verktyget släppt. En lyckad attack kräver information om layouten för de fysiska adresserna som används i minneskontrollern i förhållande till banker och rader med minneceller.
För att bestämma layouten, dramaverktyget utvecklades vidare, vilket kräver att man börjar med root-privilegier. Inom en snar framtid är det också planerat att publicera en applikation för att testa minnet på smartphones.
Intel- och AMD-företag rekommenderar att skydda användningen av minne med felkorrigering (ECC), minneskontrollanter med stöd för MAC och tillämpa en högre uppdateringsfrekvens.
Fuente: https://www.vusec.net