Rowhammer reloaded: "TRRespass" kann DDR4-Schutz Target Row Refresh aushebeln
Forscher haben eine neue Rowhammer-Angriffsstrategie entwickelt, die den DDR4-DRAM-Schutz Target Row Refresh (TRR) mindestens in einigen Fällen umgehen kann.
(Bild: W. Scott McGill / Shutterstock)
Sicherheitsforscher der Systems and Network Security Group der VU Amsterdam, kurz: VUSec, haben eine Methode entwickelt, den Arbeitsspeicher-Schutzmechanismus Target Row Refresh (TRR) zu umgehen und gängige Rowhammer-Angriffstechniken erfolgreich auf "geschützte" DDR4-DRAM-Module und LPDDR4-Chips für mobile Geräte anzuwenden.
(Bild: VUsec)
Mit "Row-Fuzzing" zum Ziel
TRR stand bislang in dem Ruf, Rowhammer-Angriffe zumindest stark zu erschweren. Die Analysen des VUSec-Teams zeichnen nun ein gemischteres Bild der Situation: Mit dem selbst entwickelten "Row-Fuzzer" TRRespass konnten sie 12 von 42 getesteten, mit TRR abgesicherte DDR4-DRAM-Module erfolgreich angreifen. Allerdings sind sie der Meinung, dass mit höherem Zeitaufwand und Anpassungen des TRRespass-Codes noch mehr möglich sein könnte.
Laut MITRE-Eintrag zu TRRespass alias CVE-2020-10255 ist DDR4-DRAM von SK Hynix, Micron und Samsung verwundbar. Hinzu kommen LPDDR4-Chips, die in einigen beliebten Smartphone-Modellen wie dem Google Pixel 3 und dem Samsung Galaxy S10 stecken.
Einem Tweet zufolge plant VUSec eine App zum Testen des eigenen Smartphones auf die Schwachstelle. Das Team ist sich nach eigenen Angaben sicher, dass die meisten der derzeit auf dem Markt befindlichen (und logischerweise nicht durchgetesteten) LPDDR4-Chips anfällig für CVE-2020-10255 sind.
Rowhammer-Prinzip: Auf Zeilen einhämmern
Bei Rowhammer handelt es sich um ein 2014 im Rahmen einer Studie erstmals vorgestelltes Sicherheitsproblem, das Anfang 2015 durch Googles Project Zero dann auch als Angriffstechnik auf den Arbeitsspeicher beschrieben wurde. Rowhammer ermöglicht mit normalen Nutzerrechten das Manipulieren von (eigentlich geschützten) Adressbereichen des Speichers. Die Bezeichnung "Rowhammer" ergibt sich daraus, dass mittels sehr vieler Lesezugriffe auf Speicherzellen in bestimmten Zeilen (Rows) des DRAM-Chips "eingehämmert" wird, um elektrische Interaktionen zwischen ihnen auszulösen.
So werden Bit-Flips in angrenzenden Zeilen ausgelöst, was eine Überwindung der Abschottung zwischen User- und Kernel-Space ermöglicht. Dadurch wiederum könnten Angreifer (je nach Angriffsszenario und -umgebung) etwa aus Sandboxes ausbrechen, eigenen Code ausführen, auf sensible Daten zugreifen oder Systeme vollständig übernehmen.
Target Row Refresh als DDR4-/LPDDR4-Schutz
Auf die initiale Rowhammer-Veröffentlichung folgten diverse Varianten – etwa in Gestalt eines JavaScript-basierten Rowhammer-Angriffs über das Internet, den Android-spezischen "Rampage"-Angriff oder des Mitte 2019 vorgestellten RAMBleed, mit dem das Auslesen von Speicher an beliebigen Adressen und ohne Veränderung anderer Daten möglich war.
Die ersten Arbeiten zu Rowhammer nahmen DDR3-Speichermodule ins Visier: Rund 85 Prozent der getesteten DDR3-DIMMs von drei Herstellern waren verwundbar. Die Autoren aus Googles Project Zero untersuchten DDR3-Module von fünf Herstellern in 29 handelsüblichen Notebooks; bei 15 davon gelangen Bit Flips.
2016 zeigten Forscher der TU Graz 2016 dann, dass auch DDR4-DRAM grundsätzlich anfällig für Rowhammer ist. Experten wie etwa die RAMBleed-Entwickler rieten aufgrund des ihrer Einschätzung nach deutlich geringeren Risikos dennoch zum Aufrüsten auf moderne DDR4-DRAM-Module mit aktiviertem TRR. "While Rowhammer-induced bit flips have been demonstrated on TRR, it is harder to accomplish in practice", schreiben sie auf ihrer Website zum RAMBleed-Angriff.
Je nach Hersteller wird TRR anders implementiert. Grob gesagt handelt es sich jedoch um einen Zählmechanismus von DRAM-Zeilen, der Zugriffe auf benachbarte Zeilen erfasst. Um Bit-Flips zu verhindern, wird ab einem bestimmten Schwellenwert ein vorzeitiger Refresh dieser Zeilen ausgelöst.
TRRespass: TRR-Schwachstellen aufgedeckt
Die Forscher von VUSec testeten zunächst gängige Rowhammer-Angriffe ("all known variants of Rowhammer variants") gegen 42 DDR4-Speichermodule verschiedener Hersteller – alle mit aktiviertem TRR. Zunächst, so schreiben die Forscher auf ihrer TRRespass-Projektseite, schien der Schutzmechanismus besser zu funktionieren als erwartet: Sie beobachteten keinen einzigen Bit-Flip.
Ihre weitergehenden Analysen konzentrierten sich auf die unterschiedlichen TRR-Implementierungen der Hersteller und die daraus resultierenden spezifischen Angriffspunkte. Der Schutzmechanismus, so erläutern die Forscher, muss immer sowohl die Anzahl der Zugriffe als auch die Zeilen erfassen, auf die zugegriffen wird. Da dies mit vertretbarem Rechenaufwand aber nur bis zu einem gewissen Grad möglich ist, erhöhten sie die Anzahl der Reihen, auf die zugegriffen wurde. Zugleich erarbeiteten sie wirkungsvolle, teils hardwarespezifische Zugriffsmuster, die letztlich dann doch zu Bit-Flips führten.
Auf Basis dieser Erkenntnisse programmierte das VUSec-Team den Rowfuzzer TRRespass, der zufällig verschiedene Zeilen für das Hammering auswählt. Mit ihm versuchten sie, automatisiert funktionierende "Bit-Flip-Kombos" für die 42 Module herauszufinden – und kamen so 12 angreifbaren auf die Spur.
Risiko jetzt höher als mit DDR3?
Insgesamt müssen die Erkenntnisse der Forscher vor dem Hintergrund betrachtet werden, dass Rowhammer-Angriffe durchaus kompliziert sind, durchweg von Forschern erarbeitet wurden und in der Praxis bislang keine große Rolle spielten. VUSec meint allerdings, dass die Schwachstelle angesichts der neuen Erkenntnisse nun in DDR4-Modulen schlimmer sei als zuvor in DDR3: "The vulnerability has gotten worse compared to DDR3", heißt es auf der Projekt-Website zu TRRespass. Offenbar sehen sie in ihrem Fuzzing-Ansatz noch viel Potenzial.
Wer TRRespass selbst ausprobieren beziehungsweise seinen DDR4-DRAM testen möchte, findet den – als "Schwachstellen-Scanner" sicherlich auch für Angreifer nicht uninteressanten – TRRespass-Code bei GitHub. Interessierte können mit dem Whitepaper der VUSec-Forscher noch tiefer in die Materie einsteigen:
dfdsfs
Aktuelle Serverprozessoren bringen Funktionen zur kompletten oder teilweisen RAM-Verschlüsselung mit, die etwa Server in Rechenzentren von Firmen und Cloud-Dienste vor Angriffen wie Rowhammer schützen sollen:
(ovw)
