Peneliti akademik telah menyusun varian baru dari serangan Rowhammer yang memotong mekanisme perlindungan terbaru pada chip memori DDR5 dari SK Hynix.
Serangan Rowhammer bekerja dengan berulang kali mengakses barisan sel memori spesifik pada operasi baca/penulisan berkecepatan tinggi untuk menyebabkan gangguan listrik yang cukup untuk mengubah nilai bit terdekat dari satu ke nol dan sebaliknya (bit flipping).
Seorang penyerang dapat melakukan potensi data korup, meningkatkan hak istimewa mereka pada sistem, menjalankan kode berbahaya, atau mendapatkan akses ke data sensitif.
Salah satu mekanisme pertahanan terhadap serangan Rowhammer disebut Target Row Refresh (TRR), yang mencegah bit membalik dengan mengeluarkan perintah refresh ekstra ketika mendeteksi akses sering ke baris tertentu.
Hammering DDR5 untuk Eskalasi Hak istimewa
Sebuah tim peneliti di Computer Security Group (COMSEC) di ETH Zurich University di Swiss dan Google menciptakan serangan DDR5 Rowhammer baru yang mereka sebut Phoenix, yang dapat membalikkan bit dalam chip memori untuk memungkinkan aktivitas berbahaya.
Tes dilakukan pada produk DDR5 dari Hynix, salah satu pembuat chip memori terbesar dengan sekitar 36% dari pasar, tetapi risiko keamanan dapat meluas ke produk dari vendor lain juga.
Setelah merekayasa balik perlindungan kompleks yang diimplementasikan Hynix terhadap Rowhammer dan belajar bagaimana mereka bekerja, para peneliti menemukan bahwa interval penyegaran tertentu tidak disampel oleh mitigasi, yang dapat dieksploitasi.
Mereka juga mengembangkan metode untuk Phoenix untuk melacak dan menyinkronkan dengan ribuan operasi penyegaran dengan mengoreksi diri ketika mendeteksi yang terlewat.
Untuk menghindari perlindungan TRR, pola RowHammer dalam tutupan serangan Phoenix 128 dan 2608 interval refresh dan slot aktivasi spesifik palu hanya pada saat -saat yang tepat.
Menggunakan model mereka, para peneliti dapat membalikkan bit pada semua 15 chip memori DDR5 di kumpulan uji dan membuat eksploitasi eskalasi hak istimewa Rowhammer pertama.
Selama pengujian, mereka membutuhkan waktu kurang dari dua menit untuk mendapatkan cangkang dengan hak istimewa root “pada sistem DDR5 komoditas dengan pengaturan default.”
Selain itu, para peneliti juga mengeksplorasi kemungkinan eksploitasi praktis menggunakan metode serangan Phoenix untuk mengendalikan sistem target.
Saat menargetkan entri meja halaman (PTE) untuk membuat memori yang sewenang-wenang membaca/menulis primitif, mereka menemukan bahwa semua produk dalam tes rentan.
Dalam tes lain, mereka menargetkan kunci RSA-2048 dari VM yang berlokasi bersama untuk memecahkan otentikasi SSH dan menemukan bahwa 73% DIMM terpapar.
Dalam evaluasi ketiga, para peneliti menemukan bahwa mereka dapat mengubah biner sudo untuk meningkatkan hak istimewa lokal mereka ke tingkat root pada 33% dari chip yang diuji.
Sumber: comsec eth zurich
Tabel di atas menunjukkan bahwa semua chip memori yang diuji rentan terhadap salah satu pola RowHammer yang digunakan dalam serangan Phoenix. Yang lebih pendek dengan 128 interval refresh lebih efektif, menghasilkan lebih banyak bit flips rata -rata.
Phoenix saat ini dilacak sebagai CVE-2025-6202 dan menerima skor tingkat tinggi. Ini mempengaruhi semua modul RAM DIMM yang diproduksi antara Januari 2021 dan Desember 2024.
Meskipun RowHammer adalah masalah keamanan di seluruh industri yang tidak dapat dikoreksi untuk modul memori yang ada, pengguna dapat menghentikan serangan Phoenix dengan tiga kali lipat dari DRAM Refresh Interval (TREFI).
Namun, jenis stres ini dapat menyebabkan kesalahan atau korupsi data dan membuat sistem tidak stabil.
Makalah teknis berjudul “Phoenix: Serangan Rowhammer pada DDR5 dengan sinkronisasi koreksi diri sendiri“Telah diterbitkan dan juga akan disajikan di Simposium IEEE tentang Keamanan dan Privasi tahun depan.
Para peneliti juga berbagi a gudang Dengan sumber daya untuk mereproduksi serangan Phoenix, yang mencakup eksperimen berdasarkan array gerbang yang dapat diprogram lapangan (FPGA) untuk implementasi TRR rekayasa balik, dan kode untuk eksploitasi pembuktian konsep.
