Cybersecurity-onderzoekers van ETH Zürich hebben een nieuwe variant van de RowHammer DRAM-aanval (dynamic random-access memory) ontwikkeld die voor het eerst met succes werkt tegen AMD Zen 2- en Zen 3-systemen, ondanks mitigaties zoals Target Row Refresh (TRR).
“Dit resultaat bewijst dat AMD-systemen even kwetsbaar zijn voor Rowhammer als Intel-systemen, wat het aanvalsoppervlak enorm vergroot, gezien het huidige AMD-marktaandeel van ongeveer 36% op x86 desktop-CPU's”, aldus de onderzoekers.
De techniek heeft de codenaam ZenHammer gekregen en kan voor het eerst ook RowHammer-bitflips op DDR5-apparaten activeren.
RowHammer, voor het eerst openbaar gemaakt in 2014, is een bekende aanval die gebruik maakt van de geheugencelarchitectuur van DRAM om gegevens te wijzigen door herhaaldelijk toegang te krijgen tot een specifieke rij (ook wel hameren genoemd) om ervoor te zorgen dat de elektrische lading van een cel naar aangrenzende cellen lekt.
Dit kan willekeurige bitflips veroorzaken in aangrenzende geheugenrijen (van 0 naar 1, of omgekeerd), wat de geheugeninhoud kan veranderen en mogelijk escalatie van bevoegdheden kan vergemakkelijken, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van een systeem in gevaar komt.
De aanvallen maken gebruik van de fysieke nabijheid van deze cellen binnen de geheugenarray, een probleem dat waarschijnlijk zal verergeren naarmate de schaalvergroting van de DRAM-technologie voortduurt en de opslagdichtheid toeneemt.
“Naarmate DRAM blijft schalen, kunnen RowHammer-bitflips optreden bij kleinere activeringsaantallen en dus kunnen de DRAM-rij-activeringssnelheden van een goedaardige werklast de RowHammer-drempel benaderen of zelfs overschrijden”, merkten onderzoekers van ETH Zürich op in een artikel dat in november 2022 werd gepubliceerd.
“Zo kan een systeem te maken krijgen met bitflips of regelmatig RowHammer-verdedigingsmechanismen activeren, zelfs zonder dat een kwaadwillende partij een RowHammer-aanval op het systeem uitvoert, wat leidt tot datacorruptie of aanzienlijke prestatievermindering.”
Een van de cruciale maatregelen die door DRAM-fabrikanten tegen RowHammer zijn geïmplementeerd, is TRR, een overkoepelende term die wordt gebruikt voor mechanismen die doelrijen vernieuwen waarvan is vastgesteld dat ze vaak worden gebruikt.
Het idee is daarbij om meer geheugenvernieuwingsbewerkingen te genereren, zodat slachtofferrijen ofwel worden vernieuwd voordat bits worden omgedraaid, ofwel worden gecorrigeerd nadat bits worden omgedraaid als gevolg van RowHammer-aanvallen.
ZenHammer omzeilt, net als TRRespass en SMASH, de TRR-vangrails door de geheime DRAM-adresfuncties in AMD-systemen te reverse-engineeren en verbeterde vernieuwingssynchronisatie en planning van spoel- en hekwerkinstructies toe te passen om bitflips te activeren op zeven van de tien voorbeeld Zen 2-apparaten en zes van de 10 Zen 3-apparaten.
De studie kwam ook tot een optimale hamerinstructiereeks om de rij-activeringssnelheid te verbeteren en zo effectiever hameren mogelijk te maken.
“Onze resultaten toonden aan dat regelmatige belasting (MOV) met CLFLUSHOPT voor het wegspoelen van agressors uit de cache, uitgevoerd onmiddellijk na toegang tot een agressor ('scatter'-stijl), optimaal is”, aldus de onderzoekers.
ZenHammer onderscheidt zich doordat het de allereerste methode is die bitflips kan activeren op systemen die zijn uitgerust met DDR5-chips op AMD's Zen 4 microarchitectuurplatform. Dat gezegd hebbende, het werkt alleen op een van de 10 geteste apparaten (Ryzen 7 7700X).
Het is vermeldenswaard dat DDR5 DRAM-modules voorheen als immuun werden beschouwd voor RowHammer-aanvallen, omdat ze TRR vervangen door een nieuw soort bescherming genaamd vernieuwingsbeheer.
“De veranderingen in DDR5, zoals verbeterde RowHammer-beperkingen, on-die error correction code (ECC) en een hogere verversingssnelheid (32 ms) maken het moeilijker om bitflip te activeren”, aldus de onderzoekers.
“Gezien het gebrek aan bitflips op negen van de tien DDR5-apparaten, is er meer werk nodig om de potentieel nieuwe RowHammer-maatregelen en hun veiligheidsgaranties beter te begrijpen.”
AMD zei in een beveiligingsbulletin dat het RowHammer-bitflips op DDR5-apparaten onderzoekt en dat het na voltooiing een update zal uitbrengen.
“AMD-microprocessorproducten omvatten geheugencontrollers die zijn ontworpen om te voldoen aan industriestandaard DDR-specificaties”, voegde het eraan toe. “De gevoeligheid voor RowHammer-aanvallen varieert afhankelijk van het DRAM-apparaat, de leverancier, de technologie en de systeeminstellingen.”
