Foram divulgadas informações sobre uma nova técnica de ataque da classe Rowhammer chamada Fênix (CVE-2025-6202), capaz de contornar os mecanismos de proteção TRR (Target Row Refresh) presentes em chips DDR5.
Essa proteção, projetada para evitar a corrupção das células de memória devido à perda de energia, é comprometida por esse método, que já possui um protótipo funcional capaz de modificar um bit específico de RAM e aumentar os privilégios no sistema.
O que é Rowhammer e como ele funciona?
Ataque Rowhammer é um tipo de ataque projetado para explorar a natureza física da memória DRAM, onde cada célula consiste em um capacitor e um transistor. A leitura constante de células vizinhas causa flutuações de tensão e pequenas perdas de carga, que podem alterar o valor armazenado em células adjacentes se as operações de atualização não conseguirem restaurar seu estado a tempo.
Desde sua aparição em 2014, Rowhammer gerou um cabo de guerra constante entre fabricantes de hardware e especialistas em segurançaPara mitigar o risco, os fabricantes implementaram o mecanismo TRR, mas, como demonstrado, essa proteção cobre apenas determinados cenários e não todas as variantes de ataque. Ao longo dos anos, métodos específicos foram desenvolvidos para DDR3, DDR4 e DDR5 em sistemas com processadores Intel, AMD e ARM, e até mesmo para memória de placas de vídeo NVIDIA, encontrando maneiras de contornar a correção de erros ECC e até mesmo atacar remotamente usando código JavaScript.
Phoenix, o novo Rowhammer em DDR5
O sucesso de O Phoenix se baseia na compreensão da lógica interna do TRR, um mecanismo que historicamente se baseou na “segurança pela obscuridade”, ocultando detalhes de sua operação. Para realizar engenharia reversa, Os pesquisadores usaram placas baseadas nos FPGAs Arty-A7 e ZCU104, que permitem a análise de módulos DDR5 SO-DIMM e RDIMM., identificar padrões de acesso à memória e determinar comandos DDR de baixo nível executados durante operações de software.
Esta A análise revelou que a proteção TRR nos chips testados funciona sem comandos adicionais.e com uma frequência de recarga de células variável, exigindo um rastreamento extremamente preciso de milhares de operações de atualização para que um ataque seja bem-sucedido. Para superar essa limitação, o Phoenix implementa um método de autocorreção que ajusta os padrões de acesso ao detectar atualizações com falha durante o ataque.
Durante os testes, O Phoenix provou ser altamente eficaz, permitindo a distorção controlada de bits de memória em 15 chips DDR5. da SK Hynix, fabricada entre o final de 2021 e 2024, cobrindo 36% do mercado global de DRAM. Alterar um único bit foi suficiente para executar um exploit que concedeu acesso root. em um sistema com CPU AMD Ryzen 7 7700X e memória SK Hynix DDR5 em apenas 109 segundos. Para mitigar esse risco, especialistas recomendam triplicar a taxa de atualização da memória.
Entre as técnicas de exploração possíveis destaques incluem manipulação de registros na tabela de páginas de memória (PTE) para obter privilégios de kernel, Corrupção de chaves públicas RSA-2048 na memória OpenSSH, o que poderia permitir o acesso a máquinas virtuais de terceiros, e a alteração de processos como sudo para contornar a verificação de autoridade. O método PTE foi eficaz em todos os 15 chips testados, enquanto o ataque baseado em RSA funcionou em 11 chips e a variante sudo em 5.
Phoenix conta com a técnica Rubicon, divulgados simultaneamente, o que permite que tabelas de páginas de memória sejam posicionadas em células DRAM selecionadas. Rubicon manipula otimizações do kernel Linux para alocar memória em áreas reservadas para operações privilegiadas, afetando kernels da versão 5.4 a 6.8, e potencialmente todos aqueles que usam o Zoned Buddy Allocator.
Além de simplificar os ataques Rowhammer, Rubicon também melhora a eficiência de explorações microarquitetônicas como Spectre, acelerando a localização de dados confidenciais e eliminando etapas tediosas de varredura de memória, como a identificação de arquivos críticos. Em testes, o Rubicon reduziu o tempo de vazamento de dados de 2.698 segundos para 9.5 segundos em um Intel i7-8700K e de 189 segundos para 27.9 segundos em um AMD EPYC 7252.
Finalmente, A investigação também explorou a vulnerabilidade dos sistemas de inteligência artificial a ataques Rowhammer. Pesquisadores da Universidade George Mason desenvolveram o OneFlip, um método que altera o comportamento de modelos de IA modificando um único bit na memória.
Isso permite induzir mudanças críticas, como transformar uma placa de "Pare" em uma placa de "Limite de Velocidade" em sistemas de piloto automático ou burlar sistemas de reconhecimento facial. Em modelos que usam inteiros de 32 bits para armazenar pesos, a taxa de sucesso estimada é de 99,9%, sem comprometer as características originais dos modelos.
Por fim, se estiver interessado em saber mais sobre o assunto, pode consultar os detalhes no link a seguir