發布了有關一種名為“ 菲尼克斯(CVE-2025-6202),能夠繞過 DDR5 晶片中存在的 TRR(目標行刷新)保護機制。
這種保護措施旨在防止由於斷電而導致的儲存單元損壞,但卻被這種方法破壞了,該方法已經有一個工作原型,能夠修改 RAM 的特定位元並提升系統中的權限。
什麼是 Rowhammer?它是如何運作的?
進攻 Rowhammer 是一種利用 DRAM 記憶體物理特性的攻擊, 每個單元由一個電容器和一個電晶體組成。不斷讀取相鄰單元的資料會導致電壓波動和少量電荷損失,如果更新操作未能及時恢復其狀態,則可能會改變相鄰單元中儲存的值。
自 2014 年問世以來,Rowhammer 引發了硬體製造商和安全專家之間持續不斷的拉鋸戰為了降低風險,製造商實施了 TRR 機制,但事實證明,這種保護措施僅涵蓋某些場景,而非所有攻擊變體。多年來,針對搭載英特爾、AMD 和 ARM 處理器的系統上的 DDR3、DDR4 和 DDR5,甚至 NVIDIA 顯示卡內存,已經開發出專門的方法,找到了繞過 ECC 糾錯甚至使用 JavaScript 程式碼進行遠端攻擊的方法。
Phoenix 是 DDR5 中的新型 Rowhammer
成功的 Phoenix 是基於對 TRR 內部邏輯的理解, 這種機制歷來依賴“通過隱蔽性實現安全”,隱藏了其操作細節。為了進行逆向工程, 研究人員使用基於 Arty-A7 和 ZCU104 FPGA 的電路板,可以分析 DDR5 SO-DIMM 和 RDIMM 模組。,識別記憶體存取模式並確定軟體操作期間執行的低階 DDR 命令。
此 分析表明,測試晶片上的 TRR 保護無需額外命令即可運行。由於電池充電頻率不穩定,攻擊要成功,需要極度精確地追蹤數千次更新操作。為了克服這個限制,Phoenix 實作了一種自我修復方法,可以在攻擊過程中偵測到失敗的更新時調整存取模式。
在測試期間, Phoenix 被證明非常有效,可以控制 15 個 DDR5 晶片上的記憶體位元偏移。 由 SK Hynix 生產,生產日期為 2021 年底至 2024 年,佔全球 DRAM 市場的 36%。 只需更改一位就足以執行授予 root 存取權限的漏洞。 在搭載 AMD Ryzen 7 7700X CPU 和 SK Hynix DDR5 記憶體的系統上,只需 109 秒。為了降低這種風險,專家建議將記憶體刷新率提高三倍。
在開發技術中 可能的亮點包括 內存頁表中記錄的操作 (PTE)取得核心權限, OpenSSH 記憶體中的 RSA-2048 公鑰損壞,這可能允許訪問第三方虛擬機, 以及 sudo 等進程的改變 繞過權限驗證。 PTE 方法在所有 15 款測試晶片上均有效,而基於 RSA 的攻擊在 11 款晶片上有效,sudo 變體在 5 款晶片上有效。
Phoenix 依靠 Rubicon 技術, 同時公開,允許將記憶體頁表定位到選定的 DRAM 單元。 Rubicon 操縱 Linux 核心最佳化來分配內存 在為特權操作保留的區域中,影響從 5.4 到 6.8 版本的內核,以及可能影響所有使用 Zoned Buddy Allocator 的內核。
除了簡化 Rowhammer 攻擊之外, Rubicon 也提高了 Spectre 等微架構漏洞的效率加快敏感資料定位,並省去繁瑣的記憶體掃描步驟,例如識別關鍵檔案。在測試中,Rubicon 將英特爾 i2.698-9.5K 上的資料外洩時間從 7 秒縮短至 8700 秒,將 AMD EPYC 189 上的資料外洩時間從 27.9 秒縮短至 7252 秒。
最後, 研究也探討了人工智慧系統的脆弱性 針對 Rowhammer 攻擊。喬治梅森大學的研究人員開發了 OneFlip,這種方法透過修改記憶體中的單一位元來改變 AI 模型的行為。
這使得誘導關鍵變化成為可能,例如在自動駕駛系統中將「停止」標誌轉換為「限速」標誌,或規避臉部辨識系統。在使用 32 位元整數儲存權重的模型中,預期成功率為 99,9%,且不會損害模型的原始特性。
最後,如果您有興趣了解更多,可以查閱詳情 以下鏈接。