Le tue RAM DDR5 non sono al sicuro: scoperto il pericoloso attacco Phoenix

Un gruppo di ricercatori del Computer Security Group (COMSEC) dell'ETH di Zurigo, in collaborazione con Google, ha sviluppato Phoenix, una nuova variante di attacco Rowhammer capace di aggirare le più recenti difese integrate nei moduli DDR5 di SK Hynix, primo produttore mondiale di DRAM.

Rowhammer è una tecnica nota da quasi un decennio che sfrutta accessi ripetuti ad alcune righe di memoria per indurre interferenze elettriche e provocare il cosiddetto bit flipping (da 0 a 1 o viceversa). Questi errori possono compromettere l'integrità dei dati, consentire escalation di privilegi, esecuzione di codice malevolo o accesso a informazioni sensibili.

Per contrastare il fenomeno, i produttori di DRAM hanno introdotto contromisure come il Target Row Refresh (TRR), che attiva cicli di refresh extra quando rileva accessi frequenti a una stessa riga di memoria. Tuttavia, i ricercatori hanno dimostrato che le implementazioni presenti nei chip DDR5 di SK Hynix presentano "zone cieche", non coperte dal meccanismo di protezione. Nemmeno la presenza di ECC (Error Correction Code) è di aiuto.

Phoenix sfrutta due nuovi schemi di accesso - rispettivamente di 128 e 2608 intervalli di refresh - capaci di sincronizzarsi automaticamente grazie a una tecnica di self-correcting synchronization, in grado di riallineare l'attacco anche quando un refresh viene perso. Questo approccio ha permesso di superare i limiti delle precedenti metodologie e di mantenere il controllo su migliaia di cicli.

I test su 15 moduli DDR5 SK Hynix prodotti tra il 2021 e il 2024 hanno mostrato vulnerabilità universali: ogni DIMM analizzata è risultata esposta ad almeno uno dei due schemi Phoenix. Nelle prove pratiche, i ricercatori sono riusciti a:

• ottenere una shell con privilegi root in meno di due minuti su un sistema DDR5 con impostazioni di default;
• manipolare page table entries (PTEs) per abilitare lettura/scrittura arbitraria della memoria;
• compromettere chiavi RSA-2048 di una VM co-locata, con successo nel 73% dei moduli testati;
• alterare il binario sudo per ottenere privilegi elevati, con successo nel 33% dei casi.

L'attacco è stato catalogato come CVE-2025-6202 con severità elevata. Secondo gli autori, la sola contromisura efficace per gli utenti finali consiste nel triplicare l'intervallo di refresh della DRAM (tREFI): un rimedio che impedisce a Phoenix di generare bit flip, ma al costo di un degrado prestazionale (circa +8,4% di overhead) e possibili instabilità. La mitigazione definitiva richiederà soluzioni a livello architetturale e standard industriali, ma al momento anche la più recente generazione DDR5 resta vulnerabile.

Il lavoro è stato pubblicato nel paper "Phoenix: Rowhammer Attacks on DDR5 with Self-Correcting Synchronization" e sarà presentato all'IEEE Symposium on Security and Privacy 2026. Tutti i materiali di ricerca, inclusi i proof-of-concept, sono disponibili su GitHub.