Публикувана е информация за нова техника за атака от клас Rowhammer, наречена Финикс (CVE-2025-6202), способен да заобиколи защитните механизми TRR (Target Row Refresh), присъстващи в DDR5 чиповете.
Тази защита, предназначена да предотврати повреда на клетките памет поради загуба на захранване, е компрометирана от този метод, който вече има работещ прототип, способен да модифицира специфичен бит RAM и да ескалира привилегиите в системата.
Какво е Rowhammer и как работи?
Атаката Rowhammer е вид атака, предназначена да използва физическата природа на DRAM паметта, където всяка клетка се състои от кондензатор и транзистор. Постоянното отчитане от съседните клетки причинява колебания на напрежението и малки загуби на заряд, което може да промени стойността, съхранена в съседните клетки, ако операциите по актуализиране не успеят да възстановят състоянието им навреме.
От появата си през 2014 г., Rowhammer е генерирало постоянна борба между производителите на хардуер и специалистите по сигурносттаЗа да намалят риска, производителите внедриха механизма TRR, но както беше показано, тази защита покрива само определени сценарии, а не всички варианти на атака. През годините са разработени специфични методи за DDR3, DDR4 и DDR5 на системи с процесори Intel, AMD и ARM, и дори за памет на графични карти NVIDIA, като са намерени начини за заобикаляне на корекцията на грешки в ECC и дори за дистанционна атака с помощта на JavaScript код.
Phoenix, новият Rowhammer в DDR5
Успехът на Phoenix се основава на разбирането на вътрешната логика на TRR, механизъм, който исторически е разчитал на „сигурност чрез неизвестност“, скривайки подробности за действието си. За да се извърши обратно инженерство, Изследователите са използвали платки, базирани на FPGA Arty-A7 и ZCU104, които позволяват анализ на DDR5 SO-DIMM и RDIMM модули., идентифициране на модели за достъп до паметта и определяне на ниско ниво на DDR команди, изпълнявани по време на софтуерни операции.
това Анализът показа, че TRR защитата на тестваните чипове работи без допълнителни команди.и с променлива честота на презареждане на клетките, което изисква изключително прецизно проследяване на хиляди операции за актуализиране, за да бъде успешна атаката. За да преодолее това ограничение, Phoenix внедрява метод за самовъзстановяване, който коригира моделите на достъп при откриване на неуспешни актуализации по време на атаката.
По време на тестовете, Phoenix се оказа изключително ефективен, позволявайки контролирано изкривяване на битовете памет на 15 DDR5 чипа. от SK Hynix, произведени между края на 2021 и 2024 г., покриващи 36% от световния пазар на DRAM. Промяната на един бит беше достатъчна, за да се изпълни експлойт, който предоставяше root достъп. на система с процесор AMD Ryzen 7 7700X и памет SK Hynix DDR5 само за 109 секунди. За да се намали този риск, експертите препоръчват утрояване на честотата на обновяване на паметта.
Сред техниките за експлоатация възможни акценти включват манипулиране на записи в таблицата на страниците на паметта (PTE) за получаване на привилегии на ядрото, Повреда на публичните ключове RSA-2048 в паметта на OpenSSH, което би могло да позволи достъп до виртуални машини на трети страни, и промяната на процеси като sudo за заобикаляне на проверката на оторизацията. Методът PTE беше ефективен върху всичките 15 тествани чипа, докато атаката, базирана на RSA, проработи върху 11 чипа, а вариантът sudo върху 5.
Финикс разчита на техниката Рубикон, едновременно разкрити, което позволява таблиците със страници на паметта да бъдат позиционирани в избрани DRAM клетки. Rubicon манипулира оптимизациите на ядрото на Linux, за да разпредели памет в области, запазени за привилегировани операции, засягащи ядра от версия 5.4 до 6.8 и потенциално всички, които използват Zoned Buddy Allocator.
Освен опростяването на атаките на Rowhammer, Rubicon също така подобрява ефективността на микроархитектурни експлойти като Spectre, ускорявайки локализирането на чувствителни данни и елиминирайки досадните стъпки за сканиране на паметта, като например идентифициране на критични файлове. При тестове Rubicon намали времето за изтичане на данни от 2.698 секунди на 9.5 секунди на Intel i7-8700K и от 189 секунди на 27.9 секунди на AMD EPYC 7252.
И накрая, Изследванията са изследвали и уязвимостта на системите с изкуствен интелект. до атаки Rowhammer. Изследователи от университета Джордж Мейсън разработиха OneFlip, метод, който променя поведението на моделите с изкуствен интелект, като модифицира един бит в паметта.
Това прави възможно предизвикването на критични промени, като например трансформиране на знак „Стоп“ в знак „Ограничение на скоростта“ в автопилотни системи или избягване на системи за разпознаване на лица. В модели, които използват 32-битови цели числа за съхраняване на тегла, очакваният процент на успех е 99,9%, без да се компрометират оригиналните характеристики на моделите.
И накрая, ако се интересувате да научите повече за него, можете да се консултирате с подробностите в следваща връзка.