- Phoenix elude TRR y reduce la eficacia de ECC en módulos DDR5 de SK Hynix
- Escalada de privilegios y robo de claves RSA en minutos con configuraciones por defecto
- Pruebas en 15 DIMM: 8 mostraron flips de bits explotables y ataques end-to-end
- Investigadores sugieren triplicar la tasa de refresco y avanzar hacia PRAC en JEDEC
La investigación más reciente ha puesto el foco en Phoenix, una variante de Rowhammer capaz de abrir brecha en módulos DDR5 de SK Hynix. Este trabajo, liderado por ETH Zurich con colaboración de la industria, muestra que es posible burlar mitigaciones como TRR e incluso reducir la eficacia de ECC en condiciones reales de uso de escritorio.
El hallazgo, catalogado como CVE-2025-6202 (severidad 7,1), apunta a escenarios de impacto directo: desde obtener acceso root en cuestión de minutos hasta extraer claves RSA-2048 en entornos con máquinas virtuales colocalizadas. Aun con la evolución del estándar DDR5, la densa integración de celdas DRAM mantiene viva la amenaza.
Qué es Phoenix Rowhammer y por qué afecta a DDR5
Rowhammer explota la física de la DRAM: el acceso repetido a una fila provoca interferencias eléctricas que inducen cambios de bits en filas adyacentes. En DDR5, donde la densidad aumenta y los márgenes eléctricos se estrechan, estas alteraciones (bit flips) siguen siendo un riesgo pese a las nuevas defensas.
Phoenix introduce una técnica de sincronización de refresco autocorrectiva que detecta y reencuadra los patrones de acceso cuando el sistema pierde un ciclo de refresco relevante. Con esta estrategia, los investigadores consiguieron evadir TRR mejorado y demostrar ataques end-to-end en hardware de consumo, minimizando el efecto protector de ECC.
El contexto normativo tampoco es menor: con la publicación de JESD79-5C, JEDEC impulsó DDR5-8800 y retiró PASR (Partial Array Self Refresh), una función asociada a escenarios de riesgo previos. Pese a ello, Phoenix evidencia que persisten huecos aprovechables en las mitigaciones actuales.
Lo que descubrieron los investigadores
El equipo analizó las defensas buscando intervalos de refresco poco muestreados por las técnicas anti-Rowhammer. A partir de ingeniería inversa, diseñaron dos patrones de acceso capaces de pasar desapercibidos para TRR y los combinaron con la citada sincronización autocorrectiva.
Para validar el enfoque, emplearon infraestructura basada en FPGA y ejecutaron campañas sobre 15 módulos SK Hynix DDR5. En ese muestreo, 8 de 15 DIMM presentaron flips de bits explotables que habilitaron desde escalada local mediante sudo hasta la extracción de claves RSA-2048 desde una VM colocalizada. En demostraciones públicas, el sistema alcanzó privilegios elevados en aproximadamente 109 segundos bajo configuraciones por defecto.
Según los autores, ECC en el DIMM no neutraliza de forma determinista el ataque, y TRR puede eludirse bajo los patrones y sincronía de Phoenix. La combinación de densidad DRAM y mitigaciones probabilísticas mantiene una superficie de ataque no trivial en equipos de escritorio.
Qué sistemas se ven afectados y escenarios de ataque
Los resultados afectan a equipos de escritorio con DDR5 de SK Hynix y a entornos donde múltiples cargas conviven en la misma máquina. En contextos multiusuario o cloud, los flips de bits dirigidos pueden cruzar fronteras lógicas si coinciden ciertas condiciones de asignación de memoria.
- Escalada local a root aprovechando corrupción de estructuras críticas.
- Robo de claves RSA-2048 desde VMs colocalizadas, rompiendo autenticación SSH.
- Corrupción de memoria para provocar denegación de servicio o fallos silenciosos.
- Evasión de defensas como TRR y mitigaciones basadas en muestreo de refresco.
Respuestas y mitigaciones en marcha
Como medida inmediata, los investigadores recomiendan triplicar la tasa de refresco (3x), lo que en sus pruebas impidió activar los flips de Phoenix. Esta opción implica costes en energía y rendimiento, pero reduce la ventana de ataque mientras llegan soluciones estructurales.
En paralelo, se trabaja con JEDEC en PRAC (Per-Row Activation Count), un enfoque determinista para detectar activaciones sospechosas por fila. La industria, con actores como Google, está impulsando plataformas de prueba abiertas (FPGA) y nuevas contramedidas para elevar el listón frente a Rowhammer en DDR5.
Dado que los dispositivos DRAM desplegados no pueden actualizarse vía firmware, el riesgo permanecerá durante años. En el corto plazo, conviene endurecer el sistema: políticas de asignación que dificulten la colocalización de datos sensibles, telemetría sobre errores de memoria, y revisión de parámetros de refresco cuando el perfil de amenaza lo justifique.
Qué queda por resolver
Los autores señalan que la cifrado de memoria sin integridad no frena Rowhammer. Avanzar en mecanismos de detección determinista y en integridad criptográfica es clave para entornos de alto riesgo. Con la densidad de DDR5 en aumento, la investigación seguirá siendo necesaria para cerrar los huecos que explota Phoenix.
Todo apunta a una carrera de fondo: nuevas técnicas de ataque frente a defensas más finas y verificables. Con esfuerzos coordinados entre academia, fabricantes y organismos de estandarización, la ventana de explotación puede reducirse de forma significativa sin penalizar en exceso el rendimiento.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.