- Phoenix möödub TRR-ist ja vähendab ECC efektiivsust SK Hynixi DDR5 moodulites
- Privileegide eskaleerimine ja RSA-võtme vargus minutitega vaikeseadetega
- 15 DIMM-i testimine: 8 näitas ärakasutatavaid bitivahetusi ja otsast lõpuni rünnakuid
- Teadlased soovitavad JEDECis värskendussagedust kolmekordistada ja liikuda PRACi poole.
Uusim uurimus on keskendunud Phoenix, Rowhammeri variant mis on võimeline SK Hynixi DDR5 moodulite valdkonnas uusi valdkondi läbi viima. See ETH Zürichi juhitud töö koostöös tööstusega näitab, et see on võimalik. mööda hiilida leevendusmeetmetest, näiteks TRR-ist, ja isegi vähendada ECC tõhusust reaalsetes lauaarvuti kasutustingimustes.
Avastus, mis on kataloogitud kui CVE-2025-6202 (tõsidusaste 7,1), osutab otsese mõju stsenaariumidele: juurdepääsu saamisest juur minutitega RSA-2048 võtmete eraldamiseks keskkondades, kus virtuaalsed masinad kolokaliseeritud. Isegi DDR5 standardi arenguga DRAM-rakkude tihe integratsioon hoiab ohtu elus.
Mis on Phoenix Rowhammer ja miks see mõjutab DDR5-d?
Rowhammer kasutab ära DRAM-i füüsikat: korduv juurdepääs reale põhjustab elektrilised häired mis kutsuvad esile bitivahetusi külgnevates ridades. DDR5-s, kus tihedus suureneb ja elektrilised piirid kitsenevad, need muudatused (bittide ümberpööramine) jäävad uutest kaitsemeetmetest hoolimata ohuks.
Phoenix tutvustab tehnikat, mis isekorrigeeruv värskendusajastus mis tuvastab ja muudab juurdepääsumustreid, kui süsteem jätab olulise värskendustsükli vahele. Selle strateegia abil suutsid teadlased vältida TRR-i täiustatud ja demonstreerida otsast lõpuni rünnakuid riistvara tarbimine, minimeerides ECC kaitsvat toimet.
Ka regulatiivne kontekst pole vähetähtis: avaldamisega JESD79-5C, JEDEC lükkas edasi DDR5-8800 ja lõpetas PASR-i (osalise massiivi isevärskenduse), mis on funktsioon, mis on seotud varasemad riskistsenaariumidSellest hoolimata näitab Phoenix, et praegustes leevendusmeetmetes on endiselt ärakasutatavaid lünki.
Mida teadlased avastasid
Meeskond analüüsis kaitset, otsides halvasti valitud värskendusintervallid anti-Rowhammeri tehnikate abil. Pöördprojekteerimise abil kavandasid nad kaks juurdepääsumustrid suutsid TRR-il märkamatuks jääda ja kombineerisid need eelmainitud isekorrigeeriva sünkroniseerimisega.
Lähenemisviisi valideerimiseks kasutasid nad FPGA-põhine infrastruktuur ja käivitasid kampaaniaid 15 SK Hynixi DDR5 moodulil. Selles valimis 8 15-st DIMM-ist tutvustas ärakasutatavaid bitipöördeid, mis võimaldasid kõike alates kohalikust sudo eskaleerimisest kuni RSA-2048 võtme ekstraheerimine ühiskasutusega virtuaalmasinast. Avalikes demonstratsioonides saavutas süsteem kõrgendatud õigused umbes 109 sekundit vaikesätete all.
Autorite sõnul DIMM-i ECC ei neutraliseeri deterministlikult rünnakut ja TRR-i saab Phoenixi mustrite ja ajastuse korral mööda hiilida. DRAM-i tiheduse ja tõenäosuslikud leevendused säilitab lauaarvutites mittetriviaalse rünnakupinna.
Milliseid süsteeme see mõjutab ja millised rünnakustsenaariumid
Tulemused mõjutavad lauaarvutid DDR5 mäluga SK Hynixil on juba rakendusi keskkondades, kus samal masinal eksisteerib samaaegselt mitu töökoormust. Mitme kasutaja või pilve kontekstides on suunatud bitivahetused... suudab ületada loogilisi piire kui teatud mälu eraldamise tingimused sobivad.
- Kohalik ronimine juur kriitiliste struktuuride korruptsiooni ärakasutamine.
- RSA-2048 võtme vargus Kohapealsed virtuaalmasinad, autentimise rikkumine SSH.
- Mälu rikkumine provotseerimiseks teenusest keeldumine või vaiksed ebaõnnestumised.
- Kaitsemeetmete, näiteks TRR ja Valimipõhiste leevenduste värskendamine.
Reageerimine ja leevendusmeetmed on käimas
Kiireloomulise meetmena soovitavad teadlased kolmekordista värskendussagedust (3x), mis nende testides takistas Phoenixi klappide aktiveerimist. See valik tähendab energiakulud ja jõudlus, kuid see vähendab rünnakuakent struktuuriliste lahenduste väljatöötamise ajal.
Paralleelselt tehakse JEDECiga tööd selle nimel, et PRAC (reapõhine aktiveerimiste arv), deterministlik lähenemine kahtlaste aktiveerimiste tuvastamiseks rea kaupa. Tööstusharu, kus osalevad sellised osalejad nagu Google, edendab avatud testplatvorme (FPGA-sid) ja uusi vastumeetmeid, et tõsta latti Rowhammeri vastu DDR5-s.
Alates juurutatud DRAM-seadmed ei saa püsivara kaudu uuendada, püsib risk aastaid. Lühiajaliselt on soovitatav süsteemi karastada: jaotuspoliitikad, mis muudavad selle keeruliseks tundlike andmete kolokaliseerimine, mäluvigade telemeetria ja värskendamisparameetrite ülevaatamine, kui ohuprofiil seda nõuab.
Mis on veel lahendamata
Autorid juhivad tähelepanu sellele, et mälu krüptimine ilma terviklikkuseta ei peata Rowhammerit. Edusammud deterministlikes tuvastusmehhanismides ja krüptograafiline terviklikkus See on võtmetähtsusega kõrge riskiga keskkondades. DDR5 tiheduse kasvades on vaja jätkuvalt uuringuid, et sulgeda lüngad, mida Phoenix ära kasutab.
Kõik viitab pikamaajooksule: uued rünnakutehnikad täpsemate ja kontrollitavamate kaitsemeetmete vastu. Akadeemiliste ringkondade, tootjate ja standardiorganisatsioonide kooskõlastatud jõupingutuste abil saab kasutusakent oluliselt vähendada ilma sooritust ülemäära karistamata.
Kirglik kirjanik baitide maailmast ja üldse tehnoloogiast. Mulle meeldib jagada oma teadmisi kirjutamise kaudu ja just seda ma selles ajaveebis teengi, näitan teile kõike kõige huvitavamat vidinate, tarkvara, riistvara, tehnoloogiliste suundumuste ja muu kohta. Minu eesmärk on aidata teil digimaailmas lihtsal ja meelelahutuslikul viisil navigeerida.