Атака Blacksmith демонстрирует, что современные модули DDR4 все еще уязвимы к Rowhammer.
Специалисты группы компьютерной безопасности Comsec Швейцарской высшей технической школы Цюриха разработали новую технику на основе фаззинга под названием Blacksmith, которая возрождает известную атаку Rowhammer на современные DRAM-устройства и позволяет обходить существующие механизмы защиты от нее. Blacksmith демонстрирует, что современные модули DDR4 также являются уязвимыми.
Rowhammer - атака, основывающаяся на утечке электрических зарядов между соседними ячейками памяти и позволяющая злоумышленникам манипулировать (переворачивать) битами. Эта мощная атака может обходить все программные механизмы безопасности, и позволяет повышать привилегии, вызывать повреждения памяти и пр.
Rowhammer была впервые представлена в 2014 году и в течение года были опубликованы два эксплоита, позволяющих повышать привилегии.
Исправления безопасности, призванные защитить от Rowhammer, стали доказывать свою несостоятельность в марте 2020 года, когда исследователи показали пути их обхода.
Производители реализовали механизм безопасности Target Row Refresh (TRR), эффективный в основном в отношении DDR4. Атака обхода TRR получила название TRRespass , и базируется на фаззинге.
TRRespass позволяла находить эффективные паттерны воздействия на биты в 14 из 40 протестированных модулей памяти DIMM. То есть, атака эффективна в 37,5% случаях. Однако Blacksmith выявила эффективные паттерны Rowhammer на всех 40 протестированных DIMM.
В ходе исследования специалисты не искали закономерности манипуляций с битами через равные промежутки времени, а пытались найти паттерны неоднородного воздействия на биты, позволяющие обходить TRR.
Исследователи использовали параметры порядка, регулярности и интенсивности для разработки частотных шаблонов Rowhammer, а затем отправили их фаззеру Blacksmith для определения рабочих значений. Это, по сути, выявило новый потенциал эксплуатации, который упускали предыдущие исследования, как показано на видео ниже.
Фаззер проработал 12 часов и выдал оптимальные параметры для использования в атаке Blacksmith. Используя эти значения, исследователи смогли переворачивать биты в непрерывной области памяти размером 256 МБ. С целью доказать, что атаку можно использовать в реальных сценариях, команда провела тестовые атаки, которые позволили ей получить закрытые ключи для открытых ключей RSA-2048, используемых для аутентификации на узле SSH.
Специалисты обнаружили, что хотя использование памяти ECC DRAM и усложняет осуществление атаки, защититься таким образом от Rowhammer нельзя.
Решить проблему поможет переход на более новые модули памяти DDR5 DRAM, уже доступные на рынке. В DDR5 механизм TRR заменен новой системой, отслеживающей активации в банке и выдающей выборочные обновления при достижении порогового значения. Это означает, что масштабируемый фаззинг на устройстве DDR5 DRAM будет намного сложнее и, возможно, намного менее эффективным, но это еще предстоит выяснить.
Спойлер: мы раскрываем их любимые трюки