Phoenix adlı Rowhammer saldırısının yeni bir varyasyonu, modern DDR5 bellek modüllerinin yerleşik savunmalarını kırıyor.
Araştırmacılar, SK Hynix cipslerinde dram içi korumaları tersine çevirdiler ve en gelişmiş donanım önlemlerine rağmen bitleri çevirmelerine izin veren kör noktalar buldular.
Çalışmaları, dünyanın en büyük DRAM üreticisinden test edilen her DDR5 modülünün özenle tasarlanmış çekiçleme desenlerine karşı savunmasız kaldığını göstermektedir.
DDR5 savunmalarında boşlukları keşfetmek
SK Hynix, ağır kullanım gören satırları ferahlatarak Rowhammer ile savaşmak için Hedef Sıra Yenileme (TRR) ekledi.
Daha önceki kalıplar bu hafifletmeyi kandıramadı, bu nedenle araştırma ekibi TRR’nin ne zaman ve nasıl gerçekleştiğini haritalamak için FPGA tabanlı testler kullandı.
Çekiç desenlerinin uzunluğunu artırarak, korumanın her 128 yenileme aralığında tekrarladığını gördüler – mevcut saldırılarla varsayılandan sekiz kez daha uzun.
Daha sonra ilk ve son 64 aralıklara dönüştüler. Erken kısımda, tutarlı bir örnekleme bulamadılar, daha sonraki kısım her dört aralıktan ikisini atlayarak yenilemeler gösterdi. Bu hafif örneklenmiş aralıklar yeni saldırı modellerinin giriş noktası haline geldi.
Bulgularını kullanarak ekip iki yeni Rowhammer deseni inşa etti. Daha kısa desen 128 yenileme aralıklarını kapsar, ilk tutarsız segmentten kaçınır ve sadece hafif örneklenmiş pencereleri dövür.
Bu segmenti on altı kez tekrarlamak, yerleşik savunmaları tetiklemeden binlerce aralıkta koşmasını sağlar. Daha uzun desen 2.608 aralığı kapsar ve daha ince zamanlama kontrolü ile aynı kör noktaları kullanır.
2021 ve 2024 yılları arasında yapılan on beş SK Hynix Dimms üzerinde test edilen kısa desen sekiz modülde başarılı oldu, uzun olanı ise geri kalanında çalıştı.
Her iki desen de binlerce bit çevirmeyi tetikleyebilir – çalışma başına ortalama 5.000 – ve her modül bunlardan en az birine karşı savunmasızdı.
Kritik bir engel, bu tür uzun dönemlerde DRAM yenileme komutlarıyla senkronize kalıyordu. Zenhammer gibi mevcut yöntemler çok hızlı bir şekilde hizalamayı kaybeder.
Phoenix, yenileme periyodikliğini izleyen ve bir yenileme kaçırıldığında deseni yeniden hizalayan kendi kendini düzelten bir senkronizasyon sunar.
Bu, binlerce aralıkta güvenilir bir çekiçleme sağlar. Bu yöntemle ekip, ilk halka açık Rowhammer ayrıcalık artış istismarını varsayılan bir PC kurulumunda inşa etti ve 109 saniyeye kadar tam kök erişim sağladı.
Araştırmacılar ayrıca gerçek dünyadaki hedeflere yönelik saldırılar gösterdiler. Test edilen her DDR5 modülü, keyfi bellek okuma/yazma kazanmak için sayfa tablosu girişlerinin manipülasyonuna izin verdi.
Çoğu DIMM (yüzde 73), birlikte yerleştirilmiş sanal makinelerde RSA-2048 anahtarlarını ortaya çıkardı ve SSH molalarını riske attı. Modüllerin üçte biri, saldırganların yerel ayrıcalıkları artırmak için sudo ikili üzerine yazmasına izin veriyor.
DDR5’teki Rubicon sudo istismarını çoğaltarak, beş dakikadan biraz daha uzun bir süre sömürü süreleri gösterdiler.
Phoenix, en son DDR5 savunmalarının bile hassas zamanlama ve desen tasarımı ile yetersiz kalabileceğini kanıtlıyor. Bulgular, gelecekteki Rowhammer saldırılarını gerçekten durdurmak için yeni bir dram stratejileri gerektiriyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.