来自苏黎世瑞士高等技术学校、阿姆斯特丹自由大学和高通的一组研究人员 发布了一种新的 RowHammer 攻击方法,该方法改变了 动态随机存取存储器的单个位 (DRAM).
攻击代号为 自称为 CVE-2021-42114 的铁匠 这会影响许多 DDR4 芯片,这些芯片不受先前已知的 RowHammer 类方法的影响,但是有了这个新变体,它们就会受到问题的影响。
对于那些不知道这是一种什么样的攻击的人 罗汉默,我可以告诉你,这个 允许您通过从相邻存储单元中循环读取数据来扭曲单个存储位的内容. 由于 DRAM 是二维单元阵列,每个单元由一个电容器和一个晶体管组成,在同一存储区中连续读取会导致电压波动和异常,从而导致相邻单元中的少量电荷损失。 如果读取强度高,那么相邻单元格可能会失去足够多的电荷,下一次再生循环将没有时间恢复其原始状态,这将导致单元格中存储的数据值发生变化.
为了防止 RowHammer,芯片制造商提出了 TRR 机制 (Target Row Refresh),它可以防止相邻行单元格的损坏,但由于该保护基于“隐匿性安全”的原则,因此并没有从根本上解决问题,而只是针对已知的特殊情况进行保护,这有助于寻找规避保护的方法。 例如,在五月,Google提出了Half-Double方法,不受TRR保护影响, 因为攻击会影响与目标不直接相邻的细胞。
的新方法 Blacksmith 提供了一种绕过 TRR 保护的不同方法,基于对两个或多个攻击者链进行不同频率的不均匀处理,导致负载泄漏。
要确定导致负载发热的内存访问模式, 开发了一种特殊的模糊器,可以自动选择特定芯片的攻击参数,改变访问细胞的顺序、强度和系统化。
这种与暴露于相同单元格无关的方法使当前的 TRR 保护方法无效,这种方法或另一种方法被简化为计算对单元格的重复调用次数,并在达到特定值时开始充电。 来自相邻的单元格。 在 Blacksmith,访问模式同时分布在目标不同侧的多个单元中,允许电荷泄漏而不会达到阈值。
事实证明,该方法在规避 TRR 方面比之前提出的方法更有效- 研究人员设法在最近从三星、美光、SK 海力士和一家未知制造商(40 个芯片上未指定制造商)购买的 4 种不同 DDR4 内存芯片上实现位失真。 为了进行比较,原来由同一位研究人员提出的 TRRespass 方法仅对当时测试的 13 个芯片中的 42 个有效。
一般来说,假设该方法 Blacksmith适用于市面上94%的DRAM芯片但据研究人员称,有些芯片比其他芯片更容易受到攻击,也更容易受到攻击。 使用纠错码 (ECC) 并将芯片刷新率加倍并不能提供完整的保护,但会使操作复杂化。
值得注意的是,该问题无法在已经发布的芯片上进行拦截,需要实施新的保护 在硬件级别,因此攻击将在许多年内保持相关性。
作为实际例子,利用Blacksmith改变内存页表项(PTE,页表项)内容获得内核权限的方法,破坏OpenSSH中存储在内存中的RSA-2048公钥(可以带公钥在外部虚拟机中匹配攻击者的私钥以连接到受害者的虚拟机)并通过修改 sudo 进程内存来绕过授权检查以获得 root 权限。 根据芯片的不同,更改目标位需要 3 秒到几个小时才能发生攻击。
最后 如果您有兴趣了解更多有关它的信息,您可以查看详细信息 在下面的链接中。