En grupp forskare från Free University of Amsterdam har utvecklat en ny avancerad version av RowHammer-attacken, som gör det möjligt att ändra innehållet i enskilda bitar i minnet baserat på DRAM-chips, för att skydda integriteten hos de felkorrigeringskoder (ECC) som tillämpas.
Attacken kan utföras på distans med icke-privilegierad åtkomst till systemetEftersom RowHammer-sårbarheten kan snedvrida innehållet i enskilda bitar i minnet genom att cykliskt läsa data från närliggande minnesceller.
Vad är RowHammer-sårbarheten?
Vad forskargruppen förklarar om RowHammer-sårbarheten är att detta äre baserat på strukturen för ett DRAM-minne, för i grund och botten är detta en tvådimensionell matris av celler, varav var och en av dessa celler består av en kondensator och en transistor.
Således leder den kontinuerliga avläsningen av samma minnesområde till spänningsvariationer och avvikelser som orsakar en liten förlust av laddning i angränsande celler.
Om avläsningsintensiteten är tillräckligt stor kan cellen förlora en tillräckligt stor mängd laddning och nästa regenereringscykel kommer inte att ha tid att återställa sitt ursprungliga tillstånd, vilket resulterar i en förändring av värdet på den lagrade datan i cellen.
En ny variant av RowHammer
Hittills, användning av ECC ansågs vara det mest tillförlitliga sättet att skydda mot de problem som beskrivs ovan.
Men forskarna lyckades utveckla en metod för att ändra de angivna minnesbitarna som inte aktiverade en felkorrigeringsmekanism.
Metoden kan användas på servrar med ECC-minne för att modifiera data, ersätta skadlig kod och ändra åtkomsträttigheter.
Till exempel i RowHammer-attacker som visas ovan, när en angripare öppnade en virtuell maskin, hämtades skadliga systemuppdateringar genom en ändring av värdnamnet apt-processen för att ladda ner och modifiera verifieringslogiken för värdnamnet.
Hur fungerar den här nya varianten?
Vad forskarna förklarar om denna nya attack är att ECC-genomgången är beroende av felkorrigeringsfunktioner- Om en bit ändras kommer ECC att korrigera felet, om två bitar höjs kommer ett undantag att kastas och programmet kommer att avslutas med våld, men om tre bitar ändras samtidigt kanske ECC inte märker ändringen.
För att fastställa under vilka förhållanden ECC-verifiering inte fungerar, En verifieringsmetod liknande den i loppet har utvecklats som gör det möjligt att utvärdera en attack för en specifik adress i minnet.
Metoden baseras på det faktum att avläsningstiden ökar vid korrigering av ett fel och den resulterande fördröjningen är ganska mätbar och märkbar.
Attacken reduceras till på varandra följande försök att ändra varje bit individuellt, vilket bestämmer framgången för ändringen genom att det uppstår en fördröjning orsakad av en ECC-inställning.
Därför utförs en maskinordsökning med tre variabla bitar. I det sista steget är det nödvändigt att se till att de tre muterbara bitarna på två platser är olika, och försök sedan ändra sitt värde i ett enda pass.
Om demo
mycket Forskare visade framgångsrikt möjligheten till en attack på fyra olika servrar med DDR3-minne (teoretiskt sårbart och DDR4-minne), varav tre var utrustade med Intel-processorer (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) och en AMD (Opteron 6376).
En Demonstrationen visar att det tar ungefär 32 minuter att hitta den nödvändiga kombinationen av bitar i labbet på en inaktiv server.
Att göra en attack på en server som är igång är mycket svårare på grund av att det finns störningar som härrör från applikationens aktivitet.
I produktionssystem kan det ta upp till en vecka att hitta den önskade kombinationen av utbytbara bitar.