Исследование: Считавшаяся «неуязвимой» память DDR4 подвержена уязвимости Rowhammer
Американские исследователи из компании Third I/O на состоявшейся в Китае конференции Semicon China представили доклад, в котором рассказали о том, что уязвимости Rowhammer подвержены и чипы DDR4. Ранее считалось, что память этого типа не подвержена данной уязвимости, которую весной 2015 года обнаружили ИБ-специалисты из Google.
В чем проблема
В опубликованном в марте 2015 года описании техники эксплуатации уязвимости Rowhammer исследователи из команды Project Zero Google рассказали, что проблема заключается в изменении значений отдельных битов данных (bit flipping), хранящихся в DIMM-модулях чипов DDR3.
Память DDR представляет собой массив разбитых на блоки строк и столбцов. К ним обращаются различные приложения и операционная система. В каждом крупном участке памяти предусмотрена своя «песочница», получать доступ к которой может лишь определенный процесс или приложение.
Если запустить софт, который будет сотни и тысячи раз за долю секунды обращаться к конкретным строкам в таких участках («простукивая» их, как молотком — отсюда и название hammering), то в следствии определенных физических явлений, это может повлиять на соседний участок памяти. Это может привести к изменению значений битов в нем с нулей на единицы и наоборот.
Получив возможность влиять на содержание даже заблокированных областей памяти, злоумышленники могут осуществлять атаки, приводящие к повышению привилегий вплоть до административных. Соответственно, возможен запуск зловредного кода или перехват действий пользователей или программ.
Впоследствии другие исследователи обнаружили способ эксплуатации уязвимости Rowhammer с помощью JavaScript-кода, который использует большое количество сайтов для доставки контента пользователям. Несмотря на ограниченность этого эксплоита — он работал только на ноутбуке Lenovo x230 Ivy Bridge со стандартными настройками и чипом Haswell, примечателен сам факт программной атаки, использующей физические недостатки уязвимых DIMM.
Проблема серьезнее
Многие компании-производители чипов DDR4, такие как Micron и Samsung, заявляли о том, что их продукция не подвержена уязвимости благодаря использованию технологии TRR (Targeted Row Refresh — таргетированное обновление строк).
Исследователи из Third I/O решили проверить обоснованность этих заявлений и протестировали 12 разновидностей чипов DDR4 — и довольно быстро в 8 случаях им удалось осуществить изменение значений битов. Среди уязвимых чипов оказалась продукция Micron и Geil, а продукция G.Skill сумела выдержать тесты.
В ходе тестирования использовался созданный в Third I/O инструмент под названием Memesis, с помощью которого исследователи, в том числе, запускали большое количество процессов, работающих с одним участком памяти. В отличие от предыдущих опытов с повторением атаки Rowhammer, в этот раз исследователи «простукивали» не только области памяти, ячейки в которых содержали только нули или единицы. Им удалось разработать так называемый «дата-паттерн убийцу», который в некоторых случаях позволял повысить частоту перемен значений в битах на 50% по сравнению с другими паттернами.
В шестнадцатеричной форме он выглядит так:
492492492492492492492492492492492492492492492492
В двоичной так:
0100100100100100100100100100100100100100100100100100100100100100
1001001001001001001001001001001001001001001001001001001001001001
0010010010010010010010010010010010010010010010010010010010010010
Тесты завершались успехом также в случае DDR3-чипов с защитой от Rowhammer под названием ECC (error-correction code).
Несмотря на малую выборку чипов, исследователи убеждены, что им удалось доказать воспроизводимость атаки Rowhammer для памяти DDR4, что ранее считалось невозможным.
Не все так плохо
Несмотря на угрозы, выявленные различными исследователями за прошедший с момента обнаружения Rowhammer год, проведение подобной атаки представляет собой нелегкую задачу. Технический директор и сооснователь Third I/O Марк Лантейн (Mark Lanteigne) рассказал изданию Ars Technica, что на данный момент не существует «актуальной угрозы эксплуатации», однако в целом, существующая картинка далеко не столь безоблачна, как рисуют пресс-релизы производителей чипов.
Исследователи говорят, что цель их работы — продемонстрировать тот факт, что риск атак с использованием bit flipping является реальным. А значит, производителям чипов DDR3 и DDR4 следует уделять больше внимания безопасности своих продуктов.