Pesquisadores de segurança cibernética da ETH Zurich desenvolveram uma nova variante do ataque RowHammer DRAM (memória dinâmica de acesso aleatório) que, pela primeira vez, funciona com sucesso contra sistemas AMD Zen 2 e Zen 3, apesar de mitigações como Goal Row Refresh (TRR).
“Este resultado prova que os sistemas AMD são tão vulneráveis ao Rowhammer quanto aos sistemas Intel, o que aumenta muito a superfície de ataque, considerando a participação de mercado atual da AMD de cerca de 36% em CPUs de desktop x86”, disseram os pesquisadores.
A técnica recebeu o codinome ZenHammer, que também pode acionar bit flips RowHammer em dispositivos DDR5 pela primeira vez.
RowHammer, divulgado publicamente pela primeira vez em 2014, é um ataque bem conhecido que explora a arquitetura de células de memória DRAM para alterar dados acessando repetidamente uma linha específica (também conhecida como martelamento) para fazer com que a carga elétrica de uma célula vaze para células adjacentes.
Isso pode induzir inversões aleatórias de bits nas linhas de memória vizinhas (de 0 a 1 ou vice-versa), o que pode alterar o conteúdo da memória e potencialmente facilitar o escalonamento de privilégios, comprometendo a confidencialidade, a integridade e a disponibilidade de um sistema.
Os ataques aproveitam a proximidade física dessas células dentro do conjunto de memória, um problema que provavelmente piorará à medida que o escalonamento da tecnologia DRAM continuar e a densidade de armazenamento aumentar.
“À medida que a DRAM continua a escalar, as inversões de bits do RowHammer podem ocorrer em contagens de ativação menores e, portanto, as taxas de ativação de linha DRAM de uma carga de trabalho benigna podem se aproximar ou até mesmo exceder o limite do RowHammer”, observaram pesquisadores da ETH Zurich em um artigo publicado em novembro de 2022.
“Assim, um sistema pode sofrer alterações de bits ou acionar frequentemente mecanismos de defesa RowHammer, mesmo sem uma parte mal-intencionada realizar um ataque RowHammer no sistema, levando à corrupção de dados ou degradação significativa do desempenho.”
Uma das mitigações cruciais implementadas pelos fabricantes de DRAM contra o RowHammer é o TRR, que é um termo genérico usado para mecanismos que atualizam linhas de destino que são determinadas para serem acessadas com frequência.
Ao fazer isso, a ideia é gerar mais operações de atualização de memória para que as linhas da vítima sejam atualizadas antes que os bits sejam invertidos ou sejam corrigidas após os bits serem invertidos devido a ataques RowHammer.
ZenHammer, como TRRespass e SMASH, contorna os guardrails TRR fazendo engenharia reversa das funções secretas de endereço DRAM em sistemas AMD e adotando sincronização de atualização aprimorada e agendamento de instruções de flush e fencing para acionar inversões de bits em sete de 10 dispositivos Zen 2 de amostra e seis de 10 dispositivos Zen 3.
O estudo também chegou a uma sequência superb de instruções de martelamento para melhorar as taxas de ativação das fileiras, a fim de facilitar um martelamento mais eficaz.
“Nossos resultados mostraram que cargas regulares (MOV) com CLFLUSHOPT para liberar agressores do cache, emitidas imediatamente após acessar um agressor (estilo ‘dispersão’), são ideais”, disseram os pesquisadores.
ZenHammer tem a distinção de ser o primeiro método que pode acionar bit flips em sistemas equipados com chips DDR5 na plataforma de microarquitetura Zen 4 da AMD. Dito isto, só funciona em um dos 10 dispositivos testados (Ryzen 7 7700X).
É importante notar que os módulos DDR5 DRAM eram anteriormente considerados imunes aos ataques RowHammer devido à substituição do TRR por um novo tipo de proteção chamado gerenciamento de atualização.
“As mudanças no DDR5, como mitigações aprimoradas do RowHammer, código de correção de erros (ECC) na matriz e uma taxa de atualização mais alta (32 ms), tornam mais difícil acionar a inversão de bits”, disseram os pesquisadores.
“Dada a falta de mudanças de bits em nove dos 10 dispositivos DDR5, é necessário mais trabalho para entender melhor as potencialmente novas mitigações do RowHammer e suas garantias de segurança.”
A AMD, em um boletim de segurança, disse que está avaliando os bit flips do RowHammer em dispositivos DDR5 e que fornecerá uma atualização após sua conclusão.
“Os produtos de microprocessadores AMD incluem controladores de memória projetados para atender às especificações DDR padrão da indústria”, acrescentou. “A suscetibilidade aos ataques RowHammer varia de acordo com o dispositivo DRAM, fornecedor, tecnologia e configurações do sistema.”
