Дослідники Google та група COMSEC ETH Zurich представили Phoenix — удосконалену техніку Rowhammer, яка обходить сучасні захисти в модулях DDR5, включно з Target Row Refresh (TRR) від SK Hynix. Демонстрація показала отримання привілеїв root на типовій системі приблизно за 109 секунд. Вразливості присвоєно ідентифікатор CVE-2025-6202.
Rowhammer: фізика помилок у DRAM як вектор атаки
Rowhammer — це клас апаратних атак, відомий з 2014 року, який експлуатує щільну структуру DRAM. Багаторазові активації одних і тих самих рядків викликають витік заряду, що призводить до переворотів бітів у сусідніх комірках. Це дає змогу змінювати критичні дані в оперативній пам’яті, зокрема записи таблиць сторінок, і в підсумку досягати ескалації привілеїв або впливати на цілісність криптографічних ключів.
Як Phoenix обходить TRR у DDR5
Target Row Refresh (TRR) покликаний знижувати ризик Rowhammer, примусово оновлюючи «гарячі» рядки при виявленні інтенсивних звернень. Команда Phoenix провела реверс-інжиніринг механізмів TRR у DDR5 від SK Hynix і з’ясувала, що частина інтервалів оновлення не покривається захистом. Такі «вікна» дозволяють стабільно індукувати перевороти бітів, не тригерячи контрзаходи.
Синхронізація з циклами DRAM і патерни на 128/2608 інтервалів
Ключем став точний таймінг відносно внутрішніх циклів DRAM. Phoenix відслідковує та узгоджує тисячі операцій оновлення, автоматично ресинхронізуючись при збоях. Два основні шаблони — на 128 та 2608 інтервалів оновлення — дозволяють залишатися «нижче порогу» TRR і водночас накопичувати необхідний ефект для переворотів бітів.
Результати: root, PTE та криптографічні ключі
У тестовому пулі усі 15 перевірених чипів DDR5 продемонстрували перевороти бітів принаймні на одному з патернів, при цьому короткий шаблон на 128 інтервалів генерував більше помилок у середньому. На «типовій DDR5-конфігурації за замовчуванням» було отримано оболонку root за 109 секунд.
Серед практичних сценаріїв: прицілювання у Page Table Entries (PTE) для формування довільного примітиву читання/запису спрацювало на всіх протестованих модулях. Атака на ключі RSA‑2048 у віртуальній машині для компрометації SSH-аутентифікації виявила вразливість у 73% DIMM. В окремому експерименті зміна бінарника sudo призвела до локальної ескалації привілеїв до root на 33% модулів.
Масштаб впливу: за межами одного вендора
Хоча емпіричні тести проводилися на продуктах SK Hynix (близько 36% світового ринку DRAM), автори підкреслюють потенційну застосовність підходу й до інших виробників. Під ризиком перебувають DIMM, виготовлені з січня 2021 до грудня 2024 року, що підтверджує: Rowhammer залишається галузевою проблемою, малочутливою до суто програмних латок у вже випущених модулях.
Зменшення ризику: налаштування пам’яті, ізоляція і контроль у дата-центрах
Повністю «закрити» Rowhammer для наявних модулів програмно неможливо, адже корінь проблеми у фізиці DRAM. Дослідники вказують, що ризик Phoenix можна знизити, підвищивши частоту оновлення DRAM — тобто скоротивши tREFI приблизно утричі від стандарту. Водночас це несе компроміси: більше енергоспоживання, падіння продуктивності та ризик нестабільності/помилок даних.
Додаткові заходи: увімкнення та коректне налаштування ECC (за наявності підтримки), мінімізація спільного використання пам’яті між недовіреними навантаженнями, застосування ізоляції сторінок на рівні ОС/гіпервізора та використання «буферних» рядків. Для хмар і ЦОД доцільні стрес‑тести на Rowhammer для партій пам’яті, контроль параметрів оновлення в BIOS/UEFI та оперативне розгортання мікрокоду/прошивок від вендорів.
Слід враховувати фактор розповсюдження знань: дослідники опублікували на GitHub матеріали для відтворення Phoenix (FPGA‑експерименти з TRR і PoC‑код), що пришвидшить як подальші наукові роботи, так і потенційні зловживання. Організаціям варто оновити моделі загроз, включивши фізично індуковані помилки пам’яті, перевірити налаштування оновлення DRAM, за можливості застосувати ECC та посилити ізоляцію робочих навантажень, а також стежити за рекомендаціями виробників і ініціативами JEDEC щодо вдосконалення апаратних механізмів захисту.
