Des chercheurs universitaires ont développé ZenHammer, la première variante de l’attaque Rowhammer DRAM qui fonctionne sur des processeurs basés sur la récente microarchitecture AMD Zen qui mappe des adresses physiques sur des puces mémoire DDR4 et DDR5.

Les puces AMD Zen et les modules de RAM DDR5 étaient auparavant considérés comme moins vulnérables à Rowhammer, de sorte que les dernières découvertes remettent en question cette notion.

L’attaque ZenHammer a été développée par des chercheurs de l’université publique de recherche ETH Zurich, qui ont partagé leur article technique avec Breachtrace.

Contexte de l’attaque
Rowhammer est une méthode d’attaque bien documentée qui exploite une caractéristique physique de la mémoire vive dynamique (DRAM) moderne pour modifier les données en accédant à plusieurs reprises (« martelant ») des lignes spécifiques de cellules de mémoire via des opérations de lecture/écriture pour modifier les valeurs de bits à l’intérieur.

Les cellules de mémoire stockent des informations sous forme de charges électriques qui déterminent la valeur des bits à l’intérieur sous la forme d’un 1 ou d’un 0. En raison de la densité accrue des cellules mémoire dans les cellules à puce modernes, un « martelage » répété peut modifier l’état de charge dans les rangées adjacentes, un processus connu sous le nom de « retournement de bits ». »

En induisant stratégiquement ces retournements de bits à des endroits spécifiques, un attaquant pourrait accéder à des données sensibles (par exemple, des clés cryptographiques) ou augmenter les privilèges.

La technique a été démontrée sur les processeurs Intel et ARM, laissant les processeurs d’architecture Zen d’AMD largement inexplorés en raison de défis inhérents tels que des schémas d’adressage DRAM inconnus, la synchronisation avec les commandes d’actualisation et la difficulté à atteindre un débit d’activation de ligne suffisamment élevé.

Avec ZenHammer, les chercheurs de l’ETH Zurich ont réussi à relever ces défis en rétro-ingénierie des fonctions d’adressage DRAM complexes et non linéaires des plates-formes AMD.

Mappages et décalages d’adresses par rétro-ingénierie

Ils ont également développé de nouvelles techniques de synchronisation pour chronométrer leurs attaques avec les commandes d’actualisation de la DRAM, ce qui était crucial pour contourner les atténuations telles que l’actualisation de la ligne cible (TRR).

De plus, les chercheurs ont optimisé les modèles d’accès à la mémoire pour augmenter les taux d’activation des lignes, ce qui est un facteur essentiel dans le succès des attaques Rowhammer.

Résultats des tests
Les chercheurs ont démontré que l’attaque au marteau Zen pouvait induire des retournements de bits avec des périphériques DDR4 sur les plates-formes AMD Zen 2 (Ryzen 5 3600X) et Zen 3 (Ryzen 5 5600G). Ils ont réussi 7 tests sur 10 sur les plates-formes DDR4 / AMD Zen 2 et 6 sur 10 sur les plates-formes DDR4/AMD Zen 3.

Le succès de ZenHammer contre différentes plates-formes

Les chercheurs ont également réussi avec des puces DDR5 sur la plate-forme microarchitecturale Zen 4 d’AMD, auparavant considérée comme mieux protégée contre les attaques Rowhammer.

Cependant, le test n’a réussi que sur un seul des 10 systèmes, un Ryzen 7 7700X, indiquant « que les modifications apportées à la DDR5, telles que l’amélioration des atténuations Rowhammer, le code de correction d’erreur (ECC) on-die et un taux de rafraîchissement plus élevé (32 ms) rendent plus difficile le déclenchement des retournements de bits. »

Ces sauts de bits n’étaient pas seulement théoriques, car les analystes ont pu simuler des attaques réussies ciblant la sécurité du système, notamment en manipulant des entrées de table de pages pour un accès mémoire non autorisé.

Exploitabilité du marteau Zen et temps nécessaire pour chaque attaque

Sur l’un des systèmes de test Zen 3 produits au quatrième trimestre 2021, les chercheurs ont pu obtenir des privilèges root en 10 attaques réussies avec un temps moyen de 93 secondes, à partir du moment où un basculement de bits exploitable a été découvert.

Les options dont disposent les utilisateurs de processeurs AMD pour se défendre contre cette menace consistent à appliquer des correctifs logiciels et des mises à jour du micrologiciel. Ils peuvent également envisager d’utiliser du matériel qui a mis en œuvre des mesures d’atténuation spécifiques contre Rowhammer, qui intègre généralement une technologie plus récente.

Il convient de souligner que ces attaques sont complexes et qu’une exécution réussie nécessite un attaquant ayant une compréhension approfondie des composants logiciels et matériels.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *