Một nhóm các nhà nghiên cứu từ Đại học Tự do Amsterdam đã phát triển một phiên bản nâng cao mới của cuộc tấn công RowHammer, cho phép thay đổi nội dung của các bit riêng lẻ trong bộ nhớ dựa trên chip DRAM, để bảo vệ tính toàn vẹn của mã sửa lỗi (ECC) được áp dụng.
Cuộc tấn công có thể được thực hiện từ xa với quyền truy cập không đặc quyền vào hệ thốngVì lỗ hổng RowHammer có thể làm sai lệch nội dung của các bit riêng lẻ trong bộ nhớ bằng cách đọc dữ liệu theo chu kỳ từ các ô nhớ lân cận.
Lỗ hổng RowHammer là gì?
Theo những gì nhóm các nhà nghiên cứu giải thích về lỗ hổng RowHammer, thì đây làe dựa trên cấu trúc của bộ nhớ DRAM, bởi vì về cơ bản đây là một ma trận hai chiều của các ô trong đó mỗi ô này bao gồm một tụ điện và một bóng bán dẫn.
Do đó, việc đọc liên tục trên cùng một vùng nhớ dẫn đến sự dao động điện áp và dị thường gây ra sự mất mát nhỏ điện tích của các ô lân cận.
Nếu cường độ đọc đủ lớn, tế bào có thể bị mất một lượng điện tích đủ lớn và chu kỳ tái tạo tiếp theo sẽ không có thời gian để khôi phục lại trạng thái ban đầu, dẫn đến sự thay đổi giá trị của dữ liệu được lưu trữ trong tế bào.
Một biến thể mới của RowHammer
Cho đến bây giờ, sử dụng ECC được coi là cách đáng tin cậy nhất để bảo vệ khỏi các vấn đề được mô tả ở trên.
Nhưng các nhà nghiên cứu đã thành công trong việc phát triển một phương pháp để thay đổi các bit bộ nhớ được chỉ định đã không kích hoạt cơ chế sửa lỗi.
Phương pháp có thể được sử dụng trên các máy chủ có bộ nhớ ECC để sửa đổi dữ liệu, thay thế mã độc và thay đổi quyền truy cập.
Ví dụ, trong các cuộc tấn công RowHammer đã trình bày ở trên, khi kẻ tấn công truy cập vào một máy ảo, các bản cập nhật hệ thống độc hại được tải xuống thông qua một sự thay đổi trong quy trình apt tên máy chủ để tải xuống và sửa đổi logic xác minh của chữ ký số.
Biến thể mới này hoạt động như thế nào?
Những gì các nhà nghiên cứu giải thích về cuộc tấn công mới này là hướng dẫn ECC dựa vào các tính năng sửa lỗi- Nếu một bit được thay đổi, ECC sẽ sửa lỗi, nếu hai bit được nâng lên, một ngoại lệ sẽ được ném ra và chương trình sẽ bị buộc kết thúc, nhưng nếu ba bit được thay đổi đồng thời, ECC có thể không nhận thấy sự sửa đổi.
Để xác định các điều kiện mà theo đó xác minh ECC không hoạt động, Một phương pháp xác minh tương tự như của chủng tộc đã được phát triển cho phép đánh giá khả năng tấn công đối với một địa chỉ cụ thể trong bộ nhớ.
Phương pháp này dựa trên thực tế rằng, khi sửa lỗi, thời gian đọc tăng lên và kết quả là độ trễ có thể đo lường được và đáng chú ý.
Cuộc tấn công được giảm xuống thành các nỗ lực liên tiếp để thay đổi từng bit riêng lẻ, xác định sự thành công của thay đổi bằng sự xuất hiện của độ trễ do cài đặt ECC gây ra.
Do đó, một tìm kiếm từ máy được thực hiện với ba bit biến đổi. Trong giai đoạn cuối, cần đảm bảo rằng ba bit có thể thay đổi ở hai nơi là khác nhau, sau đó cố gắng thay đổi giá trị của chúng trong một lần chuyển.
Giới thiệu về bản demo
Các Các nhà nghiên cứu đã chứng minh thành công khả năng tấn công vào 3 máy chủ khác nhau với bộ nhớ DDRXNUMX (dễ bị tổn thương về mặt lý thuyết và bộ nhớ DDR4), ba trong số đó được trang bị bộ vi xử lý Intel (E3-1270 v3, Xeon E5-2650 v1, Intel Xeon E5-2620 v1) và một AMD (Opteron 6376).
En Cuộc biểu tình cho thấy việc tìm kiếm sự kết hợp cần thiết của các bit trong phòng thí nghiệm trên một máy chủ nhàn rỗi mất khoảng 32 phút.
Thực hiện một cuộc tấn công vào một máy chủ đang chạy khó hơn nhiều do sự hiện diện của sự can thiệp phát sinh từ hoạt động của ứng dụng.
Trong các hệ thống sản xuất, có thể mất đến một tuần để tìm ra sự kết hợp cần thiết của các bit có thể hoán đổi cho nhau.