Es va donar a conèixer informació sobre una nova tècnica d'atac de classe Rowhammer anomenada Phoenix (CVE-2025-6202), capaç de sortejar els mecanismes de protecció TRR (Target Row Refresh) presents en xips DDR5.
Aquesta protecció, dissenyada per evitar la corrupció de cel·les de memòria per pèrdua de càrrega, queda compromesa amb aquest mètode, que ja compta amb un prototip funcional capaç de modificar un bit específic de la RAM i escalar privilegis al sistema.
Què és Rowhammer i com funciona?
l'atac Rowhammer és un tipus d'atac que està dissenyat per explotar la naturalesa física de la memòria DRAM, on cada cel·la està formada per un condensador i un transistor. La lectura constant de cel·les veïnes provoca fluctuacions de voltatge i petites pèrdues de càrrega, cosa que pot canviar el valor emmagatzemat en cel·les adjacents si les operacions d'actualització no aconsegueixen restaurar-ne l'estat a temps.
Des de la seva aparició el 2014, Rowhammer ha generat un constant estira-i-arronsa entre fabricants de maquinari i especialistes en seguretat. Per mitigar el risc, els fabricants van implementar el mecanisme TRR, però, com s'ha demostrat, aquesta protecció només cobreix certs escenaris i no totes les variants de l'atac. Al llarg dels anys, s'han desenvolupat mètodes específics per a DDR3, DDR4 i DDR5 en sistemes amb processadors Intel, AMD i ARM, i fins i tot per a la memòria de targetes gràfiques NVIDIA, trobant maneres de sortejar la correcció d'errors ECC i fins i tot atacar remotament mitjançant codi JavaScript.
Phoenix el nou Rowhammer a DDR5
L'èxit de Phoenix es basa en entendre la lògica interna del TRR, un mecanisme que històricament ha depès de la “seguretat per foscor”, ocultant detalls del funcionament. Per realitzar enginyeria inversa, els investigadors van utilitzar plaques basades en FPGA Arty-A7 i ZCU104, que permeten analitzar mòduls DDR5 SO-DIMM i RDIMM, identificar patrons daccés a memòria i determinar les ordres DDR de baix nivell executats durant les operacions de programari.
Aquest anàlisi va revelar que la protecció TRR en els xips avaluats funciona sense ordres addicionalés i amb una freqüència de recàrrega de cel·la variable, cosa que exigeix un seguiment extremadament precís de milers d'operacions d'actualització perquè un atac tingui èxit. Per superar aquesta limitació, Phoenix implementa un mètode d'autocorrecció que ajusta els patrons d'accés en detectar actualitzacions fallides durant l'atac.
Durant les proves, Phoenix va demostrar ser altament eficaç, permetent distorsionar de manera controlada bits de memòria en 15 xips DDR5 de SK Hynix, fabricats entre finals de 2021 i 2024, cobrint un 36% del mercat global de DRAM. La modificació d'un sol bit va ser suficient per executar un exploit que va atorgar accés root en un sistema amb CPU AMD Ryzen 7 7700X i memòria DDR5 de SK Hynix en tan sols 109 segons. Per mitigar aquest risc, els experts recomanen triplicar la freqüència d'actualització de la memòria.
Entre les tècniques d'explotació possibles destaquen la manipulació de registres a la taula de pàgines de memòria (PTE) per obtenir privilegis de nucli, la corrupció de claus públiques RSA-2048 en memòria OpenSSH, que podria permetre l'accés a màquines virtuals de tercers, i l'alteració de processos com a sudo per evitar la verificació d'autoritat. El mètode PTE va resultar efectiu en els 15 xips provats, mentre que l'atac basat en RSA va funcionar en 11 xips i la variant sobre sudo en 5.
Phoenix es recolza en la tècnica Rubicon, divulgada simultàniament, que permet posicionar taules de pàgines de memòria a cel·les DRAM seleccionades. Rubicon manipula les optimitzacions del nucli de Linux per assignar memòria en àrees reservades a operacions privilegiades, afectant kernels des de la versió 5.4 fins a la 6.8, i potencialment tots els que utilitzin el Zoned Buddy Allocator.
Més enllà de simplificar els atacs Rowhammer, Rubicon també millora l'eficiència d'exploits de microarquitectura com Spectre, accelerant la localització de dades confidencials i eliminant etapes tedioses d'escaneig de memòria, com ara la identificació d'arxius crítics. En proves, Rubicon va reduir el temps de fugida de dades de 2.698 a 9.5 segons en un Intel i7-8700K i de 189 a 27.9 segons en un AMD EPYC 7252.
Finalment, la investigació també ha explorat la vulnerabilitat de sistemes d'intel·ligència artificial a atacs Rowhammer. Investigadors de la Universitat George Mason van desenvolupar OneFlip, un mètode que altera el comportament de models d'IA mitjançant la modificació d'un sol bit a la memòria.
Amb això, és possible induir canvis crítics, com ara transformar un senyal d'Alt en un de Límit de velocitat en sistemes de pilot automàtic o evadir sistemes de reconeixement facial. En models que usen sencers de 32 bits per emmagatzemar pesos, la taxa d'èxit estimada és del 99,9%, sense comprometre les característiques originals dels models.
Finalment, si estàs interessat a poder conèixer més sobre això, pots consultar els detalls al següent enllaç.