Phoenix зламує DDR5: як новий Rowhammer-експлойт обходить TRR і дає root за 109 секунд

CyberSecureFox 🦊

Дослідники Google та група COMSEC ETH Zurich представили Phoenix — удосконалену техніку Rowhammer, яка обходить сучасні захисти в модулях DDR5, включно з Target Row Refresh (TRR) від SK Hynix. Демонстрація показала отримання привілеїв root на типовій системі приблизно за 109 секунд. Вразливості присвоєно ідентифікатор CVE-2025-6202.

Rowhammer: фізика помилок у DRAM як вектор атаки

Rowhammer — це клас апаратних атак, відомий з 2014 року, який експлуатує щільну структуру DRAM. Багаторазові активації одних і тих самих рядків викликають витік заряду, що призводить до переворотів бітів у сусідніх комірках. Це дає змогу змінювати критичні дані в оперативній пам’яті, зокрема записи таблиць сторінок, і в підсумку досягати ескалації привілеїв або впливати на цілісність криптографічних ключів.

Як Phoenix обходить TRR у DDR5

Target Row Refresh (TRR) покликаний знижувати ризик Rowhammer, примусово оновлюючи «гарячі» рядки при виявленні інтенсивних звернень. Команда Phoenix провела реверс-інжиніринг механізмів TRR у DDR5 від SK Hynix і з’ясувала, що частина інтервалів оновлення не покривається захистом. Такі «вікна» дозволяють стабільно індукувати перевороти бітів, не тригерячи контрзаходи.

Синхронізація з циклами DRAM і патерни на 128/2608 інтервалів

Ключем став точний таймінг відносно внутрішніх циклів DRAM. Phoenix відслідковує та узгоджує тисячі операцій оновлення, автоматично ресинхронізуючись при збоях. Два основні шаблони — на 128 та 2608 інтервалів оновлення — дозволяють залишатися «нижче порогу» TRR і водночас накопичувати необхідний ефект для переворотів бітів.

Результати: root, PTE та криптографічні ключі

У тестовому пулі усі 15 перевірених чипів DDR5 продемонстрували перевороти бітів принаймні на одному з патернів, при цьому короткий шаблон на 128 інтервалів генерував більше помилок у середньому. На «типовій DDR5-конфігурації за замовчуванням» було отримано оболонку root за 109 секунд.

Серед практичних сценаріїв: прицілювання у Page Table Entries (PTE) для формування довільного примітиву читання/запису спрацювало на всіх протестованих модулях. Атака на ключі RSA‑2048 у віртуальній машині для компрометації SSH-аутентифікації виявила вразливість у 73% DIMM. В окремому експерименті зміна бінарника sudo призвела до локальної ескалації привілеїв до root на 33% модулів.

Масштаб впливу: за межами одного вендора

Хоча емпіричні тести проводилися на продуктах SK Hynix (близько 36% світового ринку DRAM), автори підкреслюють потенційну застосовність підходу й до інших виробників. Під ризиком перебувають DIMM, виготовлені з січня 2021 до грудня 2024 року, що підтверджує: Rowhammer залишається галузевою проблемою, малочутливою до суто програмних латок у вже випущених модулях.

Зменшення ризику: налаштування пам’яті, ізоляція і контроль у дата-центрах

Повністю «закрити» Rowhammer для наявних модулів програмно неможливо, адже корінь проблеми у фізиці DRAM. Дослідники вказують, що ризик Phoenix можна знизити, підвищивши частоту оновлення DRAM — тобто скоротивши tREFI приблизно утричі від стандарту. Водночас це несе компроміси: більше енергоспоживання, падіння продуктивності та ризик нестабільності/помилок даних.

Додаткові заходи: увімкнення та коректне налаштування ECC (за наявності підтримки), мінімізація спільного використання пам’яті між недовіреними навантаженнями, застосування ізоляції сторінок на рівні ОС/гіпервізора та використання «буферних» рядків. Для хмар і ЦОД доцільні стрес‑тести на Rowhammer для партій пам’яті, контроль параметрів оновлення в BIOS/UEFI та оперативне розгортання мікрокоду/прошивок від вендорів.

Слід враховувати фактор розповсюдження знань: дослідники опублікували на GitHub матеріали для відтворення Phoenix (FPGA‑експерименти з TRR і PoC‑код), що пришвидшить як подальші наукові роботи, так і потенційні зловживання. Організаціям варто оновити моделі загроз, включивши фізично індуковані помилки пам’яті, перевірити налаштування оновлення DRAM, за можливості застосувати ECC та посилити ізоляцію робочих навантажень, а також стежити за рекомендаціями виробників і ініціативами JEDEC щодо вдосконалення апаратних механізмів захисту.

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються дані ваших коментарів.