近日，安全研究人員開發(fā)了一種基于模糊測(cè)試的新技術(shù)，稱為 Blacksmith，該技術(shù)可以“復(fù)活”Rowhammer 漏洞攻擊，繞過現(xiàn)代 DRAM（Dynamic Random Access Memory，動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器）設(shè)備的緩解措施。這種新的 Blacksmith技術(shù)被證明，很容易使 DDR4 模塊受到攻擊。

　　羅哈默效應(yīng)

　　Rowhammer 是一種安全漏洞，它依賴于相鄰內(nèi)存單元之間的電荷泄漏，使威脅行為者能夠翻轉(zhuǎn)1和0并更改內(nèi)存中的內(nèi)容，這種現(xiàn)象被稱為比特翻轉(zhuǎn)（Bit flips），可被利用獲取更高的權(quán)限。這種利用 Rowhammer的強(qiáng)大攻擊可以繞過所有基于軟件的安全機(jī)制，導(dǎo)致權(quán)限提升、內(nèi)存損壞等。

　　這種攻擊方法于2014年被發(fā)現(xiàn)，隨著時(shí)間的推移，Rowhammer 漏洞成為一個(gè)普遍問題。2020年3月，用于解決位翻轉(zhuǎn)問題的緩解措施露出破綻，學(xué)術(shù)研究人員證明其可以被繞過，隨后制造商們實(shí)施了一組稱為“目標(biāo)行刷新”（TRR）的緩解措施，保護(hù)當(dāng)時(shí)的新 DDR4 免受攻擊。

　　隨后，攻擊者們針對(duì) TRR 又開發(fā)了另一種基于模糊測(cè)試的技術(shù)，被稱為 TRRespass，它成功地找到了可用的 Rowhammering 攻擊方法。

　　模糊測(cè)試探出新路

　　TRRespass 能夠在40個(gè)經(jīng)過測(cè)試的 DIMM 中找到14個(gè)有效模式，成功率約為 37.5%。然而， Blacksmith 在所有測(cè)試的DIMM中都發(fā)現(xiàn)了有效 Rowhammer 攻擊模式。研究人員這次使用的技巧不是通過一致結(jié)構(gòu)來實(shí)現(xiàn)Rowhammer攻擊，而是探索可繞過 TRR 的非一致結(jié)構(gòu)。

　　該團(tuán)隊(duì)使用順序、規(guī)律性和強(qiáng)度參數(shù)來設(shè)計(jì)基于頻率的 Rowhammer 攻擊模式，然后將它們提供給 Blacksmith模糊測(cè)試器以找到工作值。Blacksmith模糊測(cè)試器運(yùn)行12個(gè)小時(shí)，并產(chǎn)生用于其攻擊的最佳參數(shù)，使用這些參數(shù)，研究人員能夠在256 MB連續(xù)內(nèi)存區(qū)域上執(zhí)行位翻轉(zhuǎn)。

　　為了證明這在實(shí)際場(chǎng)景中可利用，該團(tuán)隊(duì)進(jìn)行了測(cè)試性攻擊，成功檢索到用于對(duì) SSH 主機(jī)進(jìn)行身份驗(yàn)證的公共 RSA-2048 密鑰私鑰。

　　最終，研究人員證實(shí)了 DRAM 供應(yīng)商關(guān)于“ Rowhammer 可防可控”說法的錯(cuò)誤，事實(shí)表明，當(dāng)前部署的所有緩解措施都不足以完全抵御 Rowhammer攻擊。新模式表明，攻擊者可以比之前更容易入侵系統(tǒng)。Comsec 進(jìn)一步發(fā)現(xiàn)，雖然使用 ECC DRAM 會(huì)使漏洞利用更加困難，但他們?nèi)詿o法抵御所有 Rowhammer 攻擊。

　　DDR5可能更安全

　　目前，市場(chǎng)上已經(jīng)有較新的 DDR5 DRAM 模塊可用，并且在未來幾年內(nèi)將加快普及。在 DDR5 中，Rowhammer 漏洞攻擊可能不是什么大問題，因?yàn)門RR 被“刷新管理”所取代，該系統(tǒng)跟蹤bank中的激活并在達(dá)到閾值時(shí)進(jìn)行選擇性刷新。這意味著在 DDR5 DRAM 設(shè)備上進(jìn)行大規(guī)模的模糊測(cè)試會(huì)比較困難，效率也可能低很多，但這還有待觀察。