Новый вариант Rowhammer обходит механизмы защиты DDR4

Специалисты группы компьютерной безопасности Comsec Швейцарской высшей технической школы Цюриха разработали новую технику на основе фаззинга под названием Blacksmith, которая возрождает известную атаку Rowhammer на современные DRAM-устройства и позволяет обходить существующие механизмы защиты от нее. Blacksmith демонстрирует, что современные модули DDR4 также являются уязвимыми.

Rowhammer - атака, основывающаяся на утечке электрических зарядов между соседними ячейками памяти и позволяющая злоумышленникам манипулировать (переворачивать) битами. Эта мощная атака может обходить все программные механизмы безопасности, и позволяет повышать привилегии, вызывать повреждения памяти и пр.

Rowhammer была впервые представлена в 2014 году и в течение года были опубликованы два эксплоита, позволяющих повышать привилегии.

Исправления безопасности, призванные защитить от Rowhammer, стали доказывать свою несостоятельность в марте 2020 года, когда исследователи показали пути их обхода.

Производители реализовали механизм безопасности Target Row Refresh (TRR), эффективный в основном в отношении DDR4. Атака обхода TRR получила название TRRespass , и базируется на фаззинге.

TRRespass позволяла находить эффективные паттерны воздействия на биты в 14 из 40 протестированных модулей памяти DIMM. То есть, атака эффективна в 37,5% случаях. Однако Blacksmith выявила эффективные паттерны Rowhammer на всех 40 протестированных DIMM.

В ходе исследования специалисты не искали закономерности манипуляций с битами через равные промежутки времени, а пытались найти паттерны неоднородного воздействия на биты, позволяющие обходить TRR.

Исследователи использовали параметры порядка, регулярности и интенсивности для разработки частотных шаблонов Rowhammer, а затем отправили их фаззеру Blacksmith для определения рабочих значений. Это, по сути, выявило новый потенциал эксплуатации, который упускали предыдущие исследования, как показано на видео ниже.

Фаззер проработал 12 часов и выдал оптимальные параметры для использования в атаке Blacksmith. Используя эти значения, исследователи смогли переворачивать биты в непрерывной области памяти размером 256 МБ. С целью доказать, что атаку можно использовать в реальных сценариях, команда провела тестовые атаки, которые позволили ей получить закрытые ключи для открытых ключей RSA-2048, используемых для аутентификации на узле SSH.

Специалисты обнаружили, что хотя использование памяти ECC DRAM и усложняет осуществление атаки, защититься таким образом от Rowhammer нельзя.

Решить проблему поможет переход на более новые модули памяти DDR5 DRAM, уже доступные на рынке. В DDR5 механизм TRR заменен новой системой, отслеживающей активации в банке и выдающей выборочные обновления при достижении порогового значения. Это означает, что масштабируемый фаззинг на устройстве DDR5 DRAM будет намного сложнее и, возможно, намного менее эффективным, но это еще предстоит выяснить.