Phoenix (CVE-2025-6202): el ataque Rowhammer que burla TRR en DDR5

CyberSecureFox 🦊

Investigadores de Google y el grupo COMSEC de ETH Zurich han presentado Phoenix, una variante avanzada de Rowhammer capaz de evadir las defensas de DDR5, incluidas las implementaciones de Target Row Refresh (TRR) de SK Hynix. Según los autores, el exploit permite escalada de privilegios a root en menos de 109 segundos en una configuración típica, quedando rastreado como CVE-2025-6202. El hallazgo reabre el debate sobre la resiliencia de la DRAM moderna frente a fallos inducidos físicamente.

Rowhammer: fallos de bits como vector de ataque en DRAM

Rowhammer describe una familia de ataques documentada desde 2014 que explota la física de la DRAM: la activación intensiva de filas adyacentes puede causar bit flips por fuga de carga en matrices de alta densidad. Al provocar cambios controlados en memoria, un atacante puede corromper estructuras críticas como Page Table Entries (PTE), habilitando lectura/escritura arbitraria, o incluso debilitar materiales criptográficos en uso.

Cómo Phoenix elude Target Row Refresh (TRR) en DDR5

El mecanismo TRR mitiga Rowhammer refrescando filas “calientes” cuando detecta accesos frecuentes. Phoenix desarma esta defensa mediante un reverse engineering de las complejas políticas TRR en DDR5 y la identificación de ventanas temporales de refresco que el control no cubre. Esas ventanas permiten inducir errores de manera estable sin disparar la protección.

La clave es la sincronización fina con los ciclos internos de la DRAM. Los investigadores desarrollaron un método para alinear y ajustar miles de operaciones de refresco, corrigiendo automáticamente desajustes. Phoenix modula activaciones en “slots” temporales específicos y utiliza patrones de 128 y 2608 intervalos de refresco para permanecer por debajo del radar de TRR mientras acumula el efecto de flipping.

Resultados medidos: del laboratorio a escenarios prácticos

En pruebas sobre 15 chips DDR5, todos mostraron flips bajo al menos uno de los patrones de Phoenix; el patrón corto de 128 intervalos fue el más productivo de media. En una configuración DDR5 por defecto, se obtuvo una shell root en 109 segundos.

En escenarios representativos, el ataque a PTE para construir un primitivo de acceso arbitrario funcionó en todos los módulos ensayados. Al apuntar a claves RSA‑2048 de una máquina virtual para comprometer autenticación SSH, el 73% de los DIMM resultaron vulnerables. En otro experimento, la modificación dirigida del binario sudo derivó en escalada local a root en el 33% de los módulos.

Alcance y productos afectados en el ecosistema DDR5

Si bien las pruebas se centraron en módulos de SK Hynix (fabricante con ~36% de cuota DRAM), los autores advierten que las técnicas de Phoenix podrían generalizarse a otros proveedores. Se consideran especialmente expuestos los DIMM producidos entre enero de 2021 y diciembre de 2024, lo que confirma que Rowhammer sigue siendo un problema transversal de la industria difícil de corregir con parches puramente software en hardware ya desplegado.

Mitigaciones: equilibrio entre riesgo, rendimiento y estabilidad

Dado que la raíz es física, no existe “parche” software definitivo para módulos ya en campo. Una reducción de riesgo consiste en aumentar la frecuencia de refresco de la DRAM, acortando tREFI aproximadamente a un tercio del valor estándar. Esta medida puede mejorar la tolerancia frente a Phoenix, pero con el coste de más consumo energético, posible pérdida de rendimiento y mayor inestabilidad/errores en ciertos entornos.

Otras medidas incluyen activar y configurar correctamente ECC (cuando esté disponible), limitar la co-ubicación de cargas no confiables, reforzar la aislación de páginas en SO/hipervisor y reservar filas de guardia. En nubes y centros de datos, se recomiendan pruebas de estrés Rowhammer por lote de memoria, control de parámetros de refresco desde BIOS/UEFI y despliegue ágil de microcódigo/firmware emitidos por los fabricantes. Los materiales publicados por los autores (experimentos TRR con FPGA y código PoC) acelerarán tanto la investigación como los intentos de abuso, por lo que conviene elevar la vigilancia operativa.

Phoenix muestra que incluso DDR5 con TRR no es inmune a Rowhammer. Es aconsejable actualizar los modelos de amenaza para incluir fallos de memoria inducidos físicamente, revisar políticas de refresco, priorizar ECC y una segregación estricta de cargas, y seguir de cerca las guías de los fabricantes y las iniciativas de JEDEC. Un primer paso práctico: inventariar los DIMM en uso (2021‑2024), validar opciones de tREFI/TRR en BIOS y ejecutar campañas de prueba específicas antes de nuevas adquisiciones.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.