DR4内存安全机制可被Rowhammer攻击绕过
2021-11-17
来源:安全牛
近日,安全研究人员开发了一种基于模糊测试的新技术,称为 Blacksmith,该技术可以“复活”Rowhammer 漏洞攻击,绕过现代 DRAM(Dynamic Random Access Memory,动态随机存取存储器)设备的缓解措施。这种新的 Blacksmith技术被证明,很容易使 DDR4模块受到攻击。
罗哈默效应
Rowhammer 是一种安全漏洞,它依赖于相邻内存单元之间的电荷泄漏,使威胁行为者能够翻转1和0并更改内存中的内容,这种现象被称为比特翻转(Bit flips),可被利用获取更高的权限。这种利用 Rowhammer的强大攻击可以绕过所有基于软件的安全机制,导致权限提升、内存损坏等。
这种攻击方法于2014年被发现,随着时间的推移,Rowhammer 漏洞成为一个普遍问题。2020年3月,用于解决位翻转问题的缓解措施露出破绽,学术研究人员证明其可以被绕过,随后制造商们实施了一组称为“目标行刷新”(TRR)的缓解措施,保护当时的新 DDR4 免受攻击。
随后,攻击者们针对 TRR 又开发了另一种基于模糊测试的技术,被称为 TRRespass,它成功地找到了可用的 Rowhammering 攻击方法。
模糊测试探出新路
TRRespass 能够在40个经过测试的 DIMM 中找到14个有效模式,成功率约为 37.5%。然而, Blacksmith 在所有测试的DIMM中都发现了有效 Rowhammer 攻击模式。研究人员这次使用的技巧不是通过一致结构来实现Rowhammer攻击,而是探索可绕过 TRR 的非一致结构。
该团队使用顺序、规律性和强度参数来设计基于频率的 Rowhammer 攻击模式,然后将它们提供给 Blacksmith模糊测试器以找到工作值。Blacksmith模糊测试器运行12个小时,并产生用于其攻击的最佳参数,使用这些参数,研究人员能够在256 MB连续内存区域上执行位翻转。
为了证明这在实际场景中可利用,该团队进行了测试性攻击,成功检索到用于对 SSH 主机进行身份验证的公共 RSA-2048 密钥私钥。
最终,研究人员证实了 DRAM 供应商关于“ Rowhammer 可防可控”说法的错误,事实表明,当前部署的所有缓解措施都不足以完全抵御 Rowhammer攻击。新模式表明,攻击者可以比之前更容易入侵系统。Comsec 进一步发现,虽然使用 ECC DRAM 会使漏洞利用更加困难,但他们仍无法抵御所有 Rowhammer 攻击。
DDR5可能更安全
目前,市场上已经有较新的 DDR5 DRAM 模块可用,并且在未来几年内将加快普及。在 DDR5 中,Rowhammer 漏洞攻击可能不是什么大问题,因为TRR 被“刷新管理”所取代,该系统跟踪bank中的激活并在达到阈值时进行选择性刷新。这意味着在 DDR5 DRAM 设备上进行大规模的模糊测试会比较困难,效率也可能低很多,但这还有待观察。