Была опубликована информация о новой технике атаки класса «Молот», называемой Феникс (CVE-2025-6202), способный обходить механизмы защиты TRR (Target Row Refresh), присутствующие в микросхемах DDR5.
Эта защита, призванная предотвратить повреждение ячеек памяти из-за потери питания, оказывается под угрозой из-за данного метода, у которого уже есть рабочий прототип, способный изменять определенный бит оперативной памяти и повышать привилегии в системе.
Что такое Rowhammer и как он работает?
Атака Rowhammer — это тип атаки, предназначенный для использования физической природы памяти DRAM, где каждая ячейка состоит из конденсатора и транзистора. Постоянное считывание данных с соседних ячеек приводит к колебаниям напряжения и небольшим потерям заряда, что может изменить значение, хранящееся в соседних ячейках, если операции обновления не восстанавливают их состояние вовремя.
С момента своего появления в 2014 году Rowhammer вызвало постоянное перетягивание каната между производителями оборудования и специалистами по безопасностиЧтобы снизить риск, производители внедрили механизм TRR, но, как было показано, эта защита охватывает лишь определённые сценарии, а не все варианты атак. За прошедшие годы были разработаны специальные методы для памяти DDR3, DDR4 и DDR5 в системах с процессорами Intel, AMD и ARM, а также для памяти видеокарт NVIDIA, позволяющие обойти коррекцию ошибок ECC и даже проводить удалённые атаки с использованием кода JavaScript.
Phoenix — новый Rowhammer в DDR5
успех Феникс основан на понимании внутренней логики ТРР, Механизм, который исторически полагался на принцип «безопасности через неизвестность», скрывая детали своей работы. Чтобы выполнить обратную разработку, Исследователи использовали платы на базе ПЛИС Arty-A7 и ZCU104, которые позволяют анализировать модули DDR5 SO-DIMM и RDIMM., выявлять закономерности доступа к памяти и определять низкоуровневые команды DDR, выполняемые во время программных операций.
Este Анализ показал, что защита TRR на тестируемых микросхемах работает без дополнительных команд.и с переменной частотой перезарядки ячеек, что требует исключительно точного отслеживания тысяч операций обновления для успешной атаки. Чтобы преодолеть это ограничение, Phoenix реализует метод самовосстановления, который корректирует шаблоны доступа при обнаружении неудачных обновлений во время атаки.
Во время испытаний, Phoenix оказался весьма эффективным, позволяя осуществлять контролируемое искажение битов памяти на 15 микросхемах DDR5. от SK Hynix, произведенные в период с конца 2021 по 2024 год, охватывающие 36% мирового рынка DRAM. Достаточно было изменить один бит, чтобы запустить эксплойт, предоставляющий права root. На системе с процессором AMD Ryzen 7 7700X и памятью SK Hynix DDR5 — всего за 109 секунд. Чтобы снизить этот риск, эксперты рекомендуют утроить частоту обновления памяти.
Среди методов эксплуатации возможные основные моменты включают манипулирование записями в таблице страниц памяти (PTE) для получения привилегий ядра, Повреждение открытых ключей RSA-2048 в памяти OpenSSH, что может позволить доступ к сторонним виртуальным машинам, и изменение таких процессов, как sudo для обхода проверки полномочий. Метод PTE оказался эффективен на всех 15 протестированных чипах, в то время как атака на основе RSA сработала на 11 чипах, а вариант с sudo — на 5.
Феникс полагается на технику Рубикона, одновременно раскрывается, что позволяет размещать таблицы страниц памяти в выбранных ячейках DRAM. Рубикон манипулирует оптимизациями ядра Linux для выделения памяти в областях, зарезервированных для привилегированных операций, затрагивая ядра версий от 5.4 до 6.8 и потенциально все, которые используют Zoned Buddy Allocator.
Помимо упрощения атак Rowhammer, Rubicon также повышает эффективность микроархитектурных эксплойтов, таких как Spectre, ускоряя обнаружение конфиденциальных данных и устраняя трудоемкие этапы сканирования памяти, такие как выявление критически важных файлов. В ходе тестирования Rubicon сократил время утечки данных с 2.698 до 9.5 секунд на Intel i7-8700K и со 189 до 27.9 секунд на AMD EPYC 7252.
Наконец, Исследования также изучили уязвимость систем искусственного интеллекта. атакам Rowhammer. Исследователи из Университета Джорджа Мейсона разработали OneFlip — метод, который изменяет поведение моделей ИИ, изменяя один бит в памяти.
Это позволяет вносить критические изменения, например, преобразовывать знак «Стоп» в знак «Ограничение скорости» в системах автопилота или избегать систем распознавания лиц. В моделях, использующих 32-битные целые числа для хранения весов, расчетная вероятность успеха составляет 99,9% без ущерба для исходных характеристик моделей.
Наконец, если вы хотите узнать больше об этом, вы можете ознакомиться с подробностями в по следующей ссылке.