近日，安全研究人員開發(fā)了一種基于模糊測試的新技術(shù)，稱為 Blacksmith，該技術(shù)可以“復(fù)活”Rowhammer 漏洞攻擊，繞過現(xiàn)代 DRAM（Dynamic Random Access Memory，動態(tài)隨機存取存儲器）設(shè)備的緩解措施。這種新的 Blacksmith技術(shù)被證明，很容易使 DDR4 模塊受到攻擊。

　　羅哈默效應(yīng)

　　Rowhammer 是一種安全漏洞，它依賴于相鄰內(nèi)存單元之間的電荷泄漏，使威脅行為者能夠翻轉(zhuǎn)1和0并更改內(nèi)存中的內(nèi)容，這種現(xiàn)象被稱為比特翻轉(zhuǎn)（Bit flips），可被利用獲取更高的權(quán)限。這種利用 Rowhammer的強大攻擊可以繞過所有基于軟件的安全機制，導致權(quán)限提升、內(nèi)存損壞等。

　　這種攻擊方法于2014年被發(fā)現(xiàn)，隨著時間的推移，Rowhammer 漏洞成為一個普遍問題。2020年3月，用于解決位翻轉(zhuǎn)問題的緩解措施露出破綻，學術(shù)研究人員證明其可以被繞過，隨后制造商們實施了一組稱為“目標行刷新”（TRR）的緩解措施，保護當時的新 DDR4 免受攻擊。

　　隨后，攻擊者們針對 TRR 又開發(fā)了另一種基于模糊測試的技術(shù)，被稱為 TRRespass，它成功地找到了可用的 Rowhammering 攻擊方法。

　　模糊測試探出新路

　　TRRespass 能夠在40個經(jīng)過測試的 DIMM 中找到14個有效模式，成功率約為 37.5%。然而， Blacksmith 在所有測試的DIMM中都發(fā)現(xiàn)了有效 Rowhammer 攻擊模式。研究人員這次使用的技巧不是通過一致結(jié)構(gòu)來實現(xiàn)Rowhammer攻擊，而是探索可繞過 TRR 的非一致結(jié)構(gòu)。

　　該團隊使用順序、規(guī)律性和強度參數(shù)來設(shè)計基于頻率的 Rowhammer 攻擊模式，然后將它們提供給 Blacksmith模糊測試器以找到工作值。Blacksmith模糊測試器運行12個小時，并產(chǎn)生用于其攻擊的最佳參數(shù)，使用這些參數(shù)，研究人員能夠在256 MB連續(xù)內(nèi)存區(qū)域上執(zhí)行位翻轉(zhuǎn)。

　　為了證明這在實際場景中可利用，該團隊進行了測試性攻擊，成功檢索到用于對 SSH 主機進行身份驗證的公共 RSA-2048 密鑰私鑰。

　　最終，研究人員證實了 DRAM 供應(yīng)商關(guān)于“ Rowhammer 可防可控”說法的錯誤，事實表明，當前部署的所有緩解措施都不足以完全抵御 Rowhammer攻擊。新模式表明，攻擊者可以比之前更容易入侵系統(tǒng)。Comsec 進一步發(fā)現(xiàn)，雖然使用 ECC DRAM 會使漏洞利用更加困難，但他們?nèi)詿o法抵御所有 Rowhammer 攻擊。

　　DDR5可能更安全

　　目前，市場上已經(jīng)有較新的 DDR5 DRAM 模塊可用，并且在未來幾年內(nèi)將加快普及。在 DDR5 中，Rowhammer 漏洞攻擊可能不是什么大問題，因為TRR 被“刷新管理”所取代，該系統(tǒng)跟蹤bank中的激活并在達到閾值時進行選擇性刷新。這意味著在 DDR5 DRAM 設(shè)備上進行大規(guī)模的模糊測試會比較困難，效率也可能低很多，但這還有待觀察。