Blacksmith, un nuovo attacco Rowhammer lascia le memorie DDR4 senza difese

Le difese della memoria DDR4 sono state completamente azzerate da Blacksmith, una nuova tecnica di attacco derivata da Rowhammer. I ricercatori che l'hanno scoperta hanno aggirato le mitigazioni esistenti sulla totalità delle DRAM testate.
di Manolo De Agostini pubblicata il 16 Novembre 2021, alle 11:01 nel canale SicurezzaDopo Rowhammer, ecco Blacksmith. I ricercatori del COMSEC dell'ETH Zurigo hanno scovato una nuova vulnerabilità di sicurezza nelle comuni memorie DDR4. L'attacco è un'evoluzione di Rowhammer, ed è in grado di superare le mitigazioni esistenti. Il tutto è stato documentato e dettagliato a questo indirizzo.
Emerso per la prima volta nel 2014, Rowhammer è un exploit che si basa sullo scambio dei bit presenti in due celle di memoria adiacenti (bit flipping) di una DRAM. Ciò avviene a causa della perdita di carica tra celle di memoria vicine. In estrema sintesi, un malintenzionato può cambiare 1 e 0 e modificare il contenuto nella memoria. Tramite Rowhammer applicazioni non attendibili possono ottenere privilegi di sistema quasi illimitati, aggirare sandbox di sicurezza ed eseguire il root o infettare i dispositivi Android, il tutto senza che le soluzioni di sicurezza software possano fare nulla.
Le mitigazioni applicate al problema del "bit flipping" hanno iniziato a mostrare il fianco nel marzo 2020. La risposta dei produttori è stata quella di implementare un insieme di mitigazioni chiamate "Target Row Refresh" (TRR), superate parzialmente dall'attacco TRRespass che ha trovato modo di superare le contromisure sul 40% delle DIMM testate. Il nuovo attacco 'Blacksmith', invece, si è dimostrato efficace praticamente al 100%.
A differenza degli attacchi precedenti basati su accessi uniformi, i ricercatori hanno "martellato" le stringhe di memoria migliaia di volte al secondo in modo non uniforme, ossia con frequenza differente. Il team ha usato parametri di ordine, regolarità e intensità per ottenere modelli con i quali ha alimentato il fuzzer (un software che rileva i bug iniettando automaticamente dati non validi in modo semi-casuale) di Blacksmith per trovare valori funzionanti.
Il fuzzer ha funzionato per 12 ore e ha restituito i parametri ottimali da usare in un attacco Blacksmith. Sfruttando i valori ottenuti, i ricercatori sono stati in grado di eseguire il bit flipping su un'area di memoria contigua di 256 MB. Per dimostrare la pericolosità reale dell'attacco, il team hanno dimostrato di essere riusciti a recuperare le chiavi private delle chiavi pubbliche RSA-2048 usate per l'autenticazione a un host SSH.
"Il nostro lavoro conferma che le affermazioni dei produttori di DRAM sulle protezioni da Rowhammer sono false e creano un falso senso di sicurezza. Tutte le mitigazioni attualmente implementate non sono sufficienti per proteggere completamente contro Rowhammer. I nostri nuovi modelli mostrano che i malintenzionati possono sfruttare i sistemi più facilmente di quanto si pensasse in precedenza", spiegano i ricercatori di COMSEC sottolineando che mentre l'uso di DRAM ECC complica l'attacco, non è una soluzione totalmente efficace. Quanto alle DDR5, non si hanno notizie certe.
Nelle loro FAQ i ricercatori di sicurezza dicono di aver contattato i tre principali produttori di DRAM (Samsung, SK Hynix e Micron) ma anche Intel, AMD, Microsoft, Oracle e Google. "SK Hynix si è messa in contatto con noi per discutere i risultati relativi alle LPDDR4X. Abbiamo discusso delle possibili mitigazioni con Intel e delle nostre scoperte in modo più dettagliato con Google".
8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoPoi vabbè parliamo sempre di vulnerabilità difficili da sfruttare, quindi realmente interessanti solo in ambiti particolarmente delicati, ma meglio prevenire che curare.
.... e la sicurezza.....
Il fuzzer ha funzionato per 12 ore e ha restituito i parametri ottimali da usare in un attacco....
qualcosa non mi torna:
- se è un attacco hardware perché si fa riferimento ad android? dovrebbe funzionare su tutto, Windows - linux .... insomma essere indipendente dal software.
- 12 ore di attacco brute force di sicuro una batteria di un cell non le regge.
Stando a quanto riportato...
...con sottosistemi di memoria centrale, fisica dotati di ECC l'attacco sarebbe/è più ostico e difficile ma possibile.Marco71
- se è un attacco hardware perché si fa riferimento ad android? dovrebbe funzionare su tutto, Windows - linux .... insomma essere indipendente dal software.
- 12 ore di attacco brute force di sicuro una batteria di un cell non le regge.
Attacca *anche* dispositivi Android, ma riesce pure a sfondare VM, ed attaccare tramite codice javascript eseguito da un browser, non si salva nessun sistema dotato di DDR4.
Nell'articolo originale c'è scritto che il loro fuzzer ha impiegato 12 ore per [U]autoapprendere[/U] i pattern di attacco migliori.
Ma una volta appresi e pre-caricati in un malware:
- sfonda le page table tra i 4 secondi (!!!) ed 2 ore
(caso peggiore, più spesso in meno di 15 minuti),
- cracka una chiave crittografica RSA-2048 tra gli 11 secondi e 2,5 ore,
- acquisisce i privilegi di amministratore tra i 5 minuti ed i 40 minuti.
In altre parole un malware di quel tipo che si spaccia per un estensione photoshop, per un codec di player multimediale o un cheat di qualche gioco non ha problemi a trapanarti il sistema senza che tu te ne accorga.
Allora faccio bene a tenermi stretto il mio cassone in firma con DDR2 (core 2 Q9550).
Quello ormai è così bucato che è più sicura una granata senza linguetta
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".