Исследователи из Швейцарской высшей технической школы в Цюрихе опубликовали , в которой продемонстрировали эффективную атаку типа Rowhammer на модули памяти стандарта DDR5. Атака Rowhammer впервые была в 2014 году. Тогда исследователи воспользовались физическими свойствами микросхем DRAM: оказалось, что значение в определенной ячейке можно изменить путем многократного обращения к соседним рядам ячеек. На тот момент исследование было проведено для модулей памяти стандарта DDR3, но позднее выяснилось, что и для DDR4 атака также актуальна.
Так как атаки Rowhammer эксплуатируют фундаментальные принципы работы микросхем памяти, были разработаны специальные меры противодействия. Технология, известная как Target Row Refresh, принудительно обновляет содержимое ячеек, если замечает многократные обращения к соседним рядам, что значительно затрудняет проведение атаки. В результате модули памяти стандарта DDR5 считались защищенными от Rowhammer с момента поступления в продажу в 2020 году и вплоть до 2024 года, когда еще одно ETH Zurich показало возможность принудительной смены значения в ячейках. Но реально успешной эта атака была против лишь одного модуля памяти из десяти исследованных. Новая атака Phoenix сработала для всех 15 протестированных модулей, а кроме того, исследователи показали несколько вариантов практических атак с использованием данной уязвимости.
Общий принцип борьбы с любыми мерами защиты от Rowhammer заключается в усложнении атаки. Предыдущие работы показывали, что если простые методы атаки в лоб не работают, остаются эффективными сложные паттерны обращения к ячейкам памяти. Так произошло и в случае атаки Phoenix. Исследователи ETH Zurich провели реверс-инжиниринг мер защиты Target Row Refresh и нашли паттерны обращения к памяти, которые, во-первых, вызывают так называемые bit-flips, а во-вторых, не определяются механизмами безопасности. Были подобраны сложные паттерны — последовательности из сотен и даже тысяч обращений к памяти определенного характера — которые позволяли обходить защиту. Все это происходило в принципиально более сложных условиях работы с памятью DDR5, у которой стандартный интервал обновления зарядов в ячейках короче, чем у DDR4.
В результате достичь принудительного изменения данных в ячейке памяти удалось для всех 15 исследованных модулей DDR5 компании SK hynix, выпущенных в 2021–2024 годах и имеющих объем от 16 до 64 гигабайт. Было установлено, что после 128 отслеживаемых технологией TRR обращений к памяти возникает «окно возможностей» из 64 обращений, когда система защиты менее эффективна. Второй паттерн с похожими характеристиками состоял из целых 2608 обращений, после которых становилась возможной атака. Впрочем, более короткий паттерн оказался несколько более эффективным. Максимально упрощенная схема атаки выглядит следующим образом:
После раунда маскировочных обращений к памяти, которые предпринимаются исключительно для обхода системы защиты, происходит непосредственно атака, которая и приводит к изменению значения в целевой ячейке. Ценность данного исследования заключается еще и в том, что авторы показали целых три реалистичных сценария использования Rowhammer на практике. В других работах этот важный этап часто игнорировался, хотя можно себе представить, что для по-настоящему работающей атаки нужно не только изменить значение в точно определенном участке памяти, но и учесть различные программные и аппаратные особенности.
Сценарий атаки PTE предполагал обращение к таблице страниц с целью создания условий для произвольного чтения и записи данных из оперативной памяти. Атака RSA предполагала похищение из памяти приватного ключа шифрования RSA-2048. Наконец, атака sudo, как следует из названия, предусматривала модификацию данных утилиты sudo для эскалации привилегий в системе. Все эксперименты проводились на системе с процессором AMD Ryzen 7 7700X поколения Zen 4 под управлением ОС Ubuntu 20.04. Результаты приведены в таблице ниже.
Как видно, несмотря на доказанную потенциальную уязвимость всех исследованных модулей памяти DDR5, атака Rowhammer остается крайне сложной в реализации. В зависимости от модели эффективным оказывался только один из двух исследованных паттернов. На разных модулях разную эффективность показывали и реалистичные сценарии атаки. Во всех случаях была возможна атака PTE, а вот кража ключа RSA и взлом sudo в некоторых случаях не работали, а иногда занимали очень много времени — больше часа постоянных обращений к памяти. Тем не менее исследователям удалось доказать, что Rowhammer остается актуальной даже для современных систем с оперативной памятью DDR5, несмотря на современные меры защиты.
Авторы исследования также предложили ряд мер по повышению защищенности модулей памяти. Очевидным, хотя и не всегда применимым на практике способом является увеличение частоты обновления памяти, что может привести к повышенному энергопотреблению. Использование памяти с коррекцией ошибок ECC значительно усложняет атаки Rowhammer, хотя и не делает их полностью невозможными. Дополнительные меры защиты могут вводиться на стороне контроллера памяти. Но самое интересное, что авторы призывают разработчиков железа не прибегать к использованию закрытых, проприетарных механизмов безопасности. Вместо этого предлагается привлекать исследователей к всестороннему тестированию технологий защиты, как это делается для средств криптографии.
Что еще произошло
Исследователи «Лаборатории Касперского» опубликовали с анализом свежих тактик группировки RevengeHotels, специализирующейся в основном на похищении данных кредитных карт туристов. Оказалось, что значительная часть кода, используемого для начального заражения и загрузки имплантов, имеет явные признаки генерации с помощью LLM.
В обновлении браузера Google Chrome до версии 140 шестая в этом году уязвимость нулевого дня.
Компания ReversingLabs самореплицирующееся вредоносное ПО Shai-Hulud, заражающее npm-пакеты. На момент публикации были зафиксированы сотни зараженных npm-пакетов, включая, например, популярные ngx-bootstrap и ng2-file-upload. Червь нацелен на кражу криптовалют, а также токенов доступа к облачным сервисам.
Из магазина приложений Google Play 224 вредоносных приложения, содержащих код для мошенничества с рекламными баннерами.
Зафиксирована с использованием вредоносной игры на платформе Steam. Пользователь, скачавший игру Block Blasters, лишился эквивалента 32 тысяч долларов в криптовалюте.
