Исследователи Google и команды COMSEC из ETH Zurich представили Phoenix — усовершенствованный вариант атаки Rowhammer, который обходит современные механизмы защиты в модулях DDR5, включая схемы Target Row Refresh (TRR) от SK Hynix. По данным авторов, эксплоит обеспечивает эскалацию привилегий до root на типовой системе менее чем за 109 секунд. Уязвимости присвоен идентификатор CVE-2025-6202.
Rowhammer в двух словах: физика битовых ошибок как вектор атаки
Rowhammer — класс атак, впервые описанный в 2014 году, который использует физические особенности DRAM. Интенсивная активация одних и тех же строк памяти способна вызвать «переворачивание битов» в соседних строках из-за утечки заряда в плотной матрице ячеек. Это позволяет злоумышленнику целенаправленно изменять данные в критичных структурах оперативной памяти и добиваться эскалации привилегий или компрометации криптографических ключей.
Как Phoenix обходит TRR в DDR5
Защита Target Row Refresh (TRR) призвана нейтрализовать Rowhammer, инициируя дополнительные обновления для «горячих» строк при обнаружении частых обращений. Команда Phoenix провела реверс-инжиниринг сложных TRR-механизмов DDR5 от SK Hynix и обнаружила, что часть интервалов обновления не контролируется защитой. Эти «окна» можно эксплуатировать для стабильного индуцирования битовых ошибок.
Ключ к обходу — точная синхронизация с внутренними циклами DRAM. Авторы разработали методику, позволяющую отслеживать и согласовывать тысячи операций обновления, автоматически корректируясь при пропусках. Phoenix гибко управляет активациями в целевых «слотах» и использует паттерны на 128 и 2608 интервалов обновления, чтобы оставаться «ниже радара» TRR и одновременно накапливать нужный эффект.
Результаты испытаний и практические сценарии атак
В тестовом пуле все 15 проверенных чипов DDR5 демонстрировали перевороты битов хотя бы под одним из паттернов Phoenix, а короткий паттерн на 128 интервалов в среднем генерировал больше ошибок. На «обычной DDR5-конфигурации по умолчанию» исследователям удалось получить оболочку root за 109 секунд.
Команда смоделировала несколько реальных сценариев: при прицеливании на Page Table Entries (PTE) для создания произвольного примитива чтения/записи уязвимость проявилась на всех протестированных модулях. При атаке на RSA‑2048 ключи виртуальной машины для компрометации SSH-аутентификации 73% DIMM оказались подвержены. В еще одном эксперименте удалось изменить бинарный файл sudo, что привело к локальной эскалации привилегий до root на 33% модулей.
Масштаб воздействия и затронутые продукты
Хотя испытания проводились на продуктах SK Hynix (около 36% рынка DRAM), авторы подчеркивают, что приемы Phoenix потенциально применимы к решениям и других производителей. По их оценке, уязвимыми считаются DIMM, выпущенные с января 2021 по декабрь 2024 года. Это подтверждает, что Rowhammer остается общеотраслевой проблемой, устойчивой к простым программным патчам в уже поставленных модулях.
Снижение риска: что можно сделать уже сейчас
Поскольку Rowhammer укоренен в физике DRAM, полной программной «заплатки» для уже выпущенных модулей не существует. Исследователи отмечают, что риск Phoenix можно уменьшить, повысив частоту обновления DRAM — то есть сократив tREFI примерно втрое относительно стандартного значения. Однако такой шаг может привести к росту ошибок, повреждению данных и нестабильности системы, а также к удорожанию по энергопотреблению и снижению производительности.
Дополнительно стоит рассмотреть включение и корректную настройку ECC (если поддерживается), ограничение совместного использования памяти между недоверенными рабочими нагрузками, механизмы изоляции страниц на уровне ОС/гипервизора и защитные «буферные» строки. Для облачных и дата-центровых сред актуальны тестирование партий памяти под Rowhammer-нагрузкой, контроль параметров обновления в BIOS/UEFI и оперативное распространение микрокода/прошивок от вендоров. В качестве меры осведомленности следует учитывать, что авторы выложили на GitHub материалы для воспроизведения Phoenix (FPGA-эксперименты по TRR и PoC-код) — это ускорит как исследования, так и попытки злоупотреблений.
Появление Phoenix демонстрирует: даже самые современные DDR5 и TRR не гарантируют иммунитет от Rowhammer. Организациям следует обновить модели угроз, включив физически-индуцируемые ошибки памяти, пересмотреть настройки обновления DRAM, по возможности применять ECC и усиленную изоляцию рабочих нагрузок, а также отслеживать рекомендации производителей памяти и инициативы JEDEC по усилению аппаратных механизмов защиты.
