Weshalb Rowhammer-Angriffe auf den Arbeitsspeicher funktionieren können

Die Angriffstechnik Rowhammer überwindet stärkste Software-Schutzmaßnahmen, indem sie Hardware-Schwächen ausnutzt. Das funktioniert teils sogar aus der Ferne.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Weshalb Rowhammer-Angriffe auf den Arbeitsspeicher funktionieren können
Lesezeit: 19 Min.
Von
  • Dr. André Schaller
Inhaltsverzeichnis

Die vor fünf Jahren entdeckten Rowhammer-Attacken auf den Arbeitsspeicher von PCs, Server und Smartphones haben auch Experten überrascht. Angriffe dieses Typs hebeln Software-Schutzfunktionen gegen Malware komplett aus. Per Rowhammer brechen Angreifer selbst aus einer scheinbar isolierten Sandbox aus, verändern den Speicher parallel laufender virtueller Maschinen und erweitern Zugriffsprivilegien, um beliebigen Code auszuführen. Einige Rowhammer-Varianten funktionieren sogar aus der Ferne: Beispielsweise erlangt JavaScript-Schadcode von einer manipulierten Webseite, den der Browser ausführt, Zugriff auf beliebige Daten im Arbeitsspeicher.

Rowhammer zeigt exemplarisch, wie sich Schwächen von Hardware-Komponenten ausnutzen lassen, um Schutzmaßnahmen von Betriebssystem, Browser und Anwendungen zu umgehen. Als sogenannter Microarchitectural Side-Channel Attack (MASCAT) ist Rowhammer ein Vorgänger von Spectre, Meltdown und ZombieLoad, den Sicherheitslücken in vielen Prozessoren. Es ist daher kein Zufall, dass der Rowhammer-Experte Daniel Gruss von der TU Graz auch einer der Entdecker von Spectre und Meltdown ist.

Per Software manipuliert Rowhammer einzelne Bits in DRAM-Zellen des Arbeitsspeichers, indem er physische Schwachstellen des jeweiligen SDRAM-Speicherchips ausnutzt. Letztlich führt ein Rowhammer-Angriff gezielt Lesezugriffe auf bestimmte Speicherzellen aus – das sogenannte Hammering –, um den Inhalt von Speicherzellen in physisch benachbarten Zeilen (Rows) zu verändern. Das funktioniert, weil es durch den extrem dicht gepackten Aufbau von SDRAM-Chips elektrische Interaktionen zwischen bestimmten benachbarten Speicherzellen gibt. Diese sind zwar eigentlich unerwünscht, galten zuvor aber als unkritisch.