近日，安全研究人員開發(fā)了一種基于模糊測試的新技術，稱為 Blacksmith，該技術可以“復活”Rowhammer 漏洞攻擊，繞過現(xiàn)代 DRAM（Dynamic Random Access Memory，動態(tài)隨機存取存儲器）設備的緩解措施。這種新的 Blacksmith技術被證明，很容易使 DDR4 模塊受到攻擊。

　　羅哈默效應

　　Rowhammer 是一種安全漏洞，它依賴于相鄰內存單元之間的電荷泄漏，使威脅行為者能夠翻轉1和0并更改內存中的內容，這種現(xiàn)象被稱為比特翻轉（Bit flips），可被利用獲取更高的權限。這種利用 Rowhammer的強大攻擊可以繞過所有基于軟件的安全機制，導致權限提升、內存損壞等。

　　這種攻擊方法于2014年被發(fā)現(xiàn)，隨著時間的推移，Rowhammer 漏洞成為一個普遍問題。2020年3月，用于解決位翻轉問題的緩解措施露出破綻，學術研究人員證明其可以被繞過，隨后制造商們實施了一組稱為“目標行刷新”（TRR）的緩解措施，保護當時的新 DDR4 免受攻擊。

　　隨后，攻擊者們針對 TRR 又開發(fā)了另一種基于模糊測試的技術，被稱為 TRRespass，它成功地找到了可用的 Rowhammering 攻擊方法。

　　模糊測試探出新路

　　TRRespass 能夠在40個經過測試的 DIMM 中找到14個有效模式，成功率約為 37.5%。然而， Blacksmith 在所有測試的DIMM中都發(fā)現(xiàn)了有效 Rowhammer 攻擊模式。研究人員這次使用的技巧不是通過一致結構來實現(xiàn)Rowhammer攻擊，而是探索可繞過 TRR 的非一致結構。

　　該團隊使用順序、規(guī)律性和強度參數(shù)來設計基于頻率的 Rowhammer 攻擊模式，然后將它們提供給 Blacksmith模糊測試器以找到工作值。Blacksmith模糊測試器運行12個小時，并產生用于其攻擊的最佳參數(shù)，使用這些參數(shù)，研究人員能夠在256 MB連續(xù)內存區(qū)域上執(zhí)行位翻轉。

　　為了證明這在實際場景中可利用，該團隊進行了測試性攻擊，成功檢索到用于對 SSH 主機進行身份驗證的公共 RSA-2048 密鑰私鑰。

　　最終，研究人員證實了 DRAM 供應商關于“ Rowhammer 可防可控”說法的錯誤，事實表明，當前部署的所有緩解措施都不足以完全抵御 Rowhammer攻擊。新模式表明，攻擊者可以比之前更容易入侵系統(tǒng)。Comsec 進一步發(fā)現(xiàn)，雖然使用 ECC DRAM 會使漏洞利用更加困難，但他們仍無法抵御所有 Rowhammer 攻擊。

　　DDR5可能更安全

　　目前，市場上已經有較新的 DDR5 DRAM 模塊可用，并且在未來幾年內將加快普及。在 DDR5 中，Rowhammer 漏洞攻擊可能不是什么大問題，因為TRR 被“刷新管理”所取代，該系統(tǒng)跟蹤bank中的激活并在達到閾值時進行選擇性刷新。這意味著在 DDR5 DRAM 設備上進行大規(guī)模的模糊測試會比較困難，效率也可能低很多，但這還有待觀察。