新型Rowhammer攻擊變種可繞過SK Hynix DDR5內(nèi)存最新防護機制

目前，研究人員已開發(fā)出一種新型Rowhammer攻擊變種，能夠繞過SK Hynix DDR5內(nèi)存芯片上的最新防護機制。

Rowhammer攻擊的原理是：通過高速讀寫操作反復訪問內(nèi)存單元的特定行，產(chǎn)生足夠強的電干擾，使相鄰位（bit）的值在0和1之間異常翻轉(zhuǎn)（即“位翻轉(zhuǎn)”）。攻擊者可借此破壞數(shù)據(jù)、提升系統(tǒng)權(quán)限、執(zhí)行惡意代碼，或獲取敏感數(shù)據(jù)。

針對Rowhammer攻擊的主流防護機制之一是“目標行刷新（Target Row Refresh，TRR）”——當檢測到某一內(nèi)存行被頻繁訪問時，TRR會發(fā)出額外的刷新指令，從而防止位翻轉(zhuǎn)。

針對DDR5的Rowhammer攻擊：以提權(quán)為目標

瑞士蘇黎世聯(lián)邦理工學院計算機安全小組與谷歌的研究團隊合作，開發(fā)了一種名為“Phoenix”的新型DDR5 Rowhammer攻擊技術(shù)。該技術(shù)可通過觸發(fā)內(nèi)存芯片中的位翻轉(zhuǎn)，為惡意活動創(chuàng)造條件。

研究團隊的測試基于Hynix的DDR5產(chǎn)品——Hynix是全球最大的內(nèi)存芯片制造商之一，市場份額約36%，但此類安全風險或同樣波及其他廠商的產(chǎn)品。

研究人員首先對Hynix為抵御Rowhammer攻擊所設計的復雜防護機制進行逆向工程，摸清其工作原理后發(fā)現(xiàn)：該防護機制并未對某些刷新間隔進行采樣監(jiān)測，這一漏洞可被攻擊者利用。

此外，團隊還為Phoenix開發(fā)了一種同步方法：當檢測到錯過某次刷新操作時，攻擊程序會自我修正，從而實現(xiàn)對數(shù)千次刷新操作的跟蹤與同步。

為繞過TRR防護，Phoenix攻擊中的Rowhammer模式覆蓋了128個和2608個刷新間隔，并僅在精準時機對特定“激活時隙”發(fā)起攻擊。

借助這套攻擊模型，研究人員成功在測試池中所有15塊DDR5內(nèi)存芯片上觸發(fā)了位翻轉(zhuǎn)，并開發(fā)出首個基于Rowhammer的權(quán)限提升漏洞利用程序。

測試顯示，在“采用默認設置的商用DDR5系統(tǒng)”上，研究人員僅用不到兩分鐘就獲取了具備root權(quán)限的shell（命令行界面）。

實際攻擊場景測試與風險范圍

研究人員還探索了Phoenix攻擊技術(shù)的實際利用可能性，以驗證其能否控制目標系統(tǒng)：

1. 內(nèi)存讀寫權(quán)限突破：通過攻擊頁表項（PTEs）構(gòu)建“任意內(nèi)存讀寫原語”時，發(fā)現(xiàn)所有測試產(chǎn)品均存在漏洞；

2. SSH認證破解：針對共存虛擬機的RSA-2048密鑰發(fā)起攻擊，試圖破壞SSH認證，結(jié)果顯示73%的雙列直插內(nèi)存模塊易受攻擊；

3. 本地權(quán)限提升：通過篡改sudo二進制文件，嘗試將本地權(quán)限提升至root級別，在33%的測試芯片上成功實現(xiàn)這一目標。

所有測試過的DDR5模塊都對新的Phoenix Rowhammer攻擊易感

測試數(shù)據(jù)表明，所有受測內(nèi)存芯片均易受Phoenix攻擊所使用的至少一種Rowhammer模式影響。其中，覆蓋128個刷新間隔的較短模式效果更顯著，平均觸發(fā)的位翻轉(zhuǎn)次數(shù)更多。

漏洞評級與防御建議

目前，Phoenix攻擊所利用的漏洞已被標記為CVE-2025-6202，危險等級為“高”，影響2021年1月至2024年12月期間生產(chǎn)的所有DIMM內(nèi)存模塊。

盡管Rowhammer是全行業(yè)性的安全問題，且無法通過修復現(xiàn)有內(nèi)存模塊徹底解決，但用戶可通過將DRAM刷新間隔（tREFI）延長至原來的三倍，來阻止Phoenix攻擊。不過，這種操作可能導致內(nèi)存出現(xiàn)錯誤或數(shù)據(jù)損壞，進而引發(fā)系統(tǒng)不穩(wěn)定。

研究團隊已發(fā)表題為《Phoenix：基于自修正同步的DDR5 Rowhammer攻擊》的技術(shù)論文，并計劃于明年在IEEE安全與隱私研討會上展示該研究成果。

此外，研究人員還公開了一個資源倉庫，內(nèi)含可復現(xiàn)Phoenix攻擊的相關(guān)材料，包括：基于現(xiàn)場可編程門陣列（FPGA）逆向工程TRR實現(xiàn)的實驗數(shù)據(jù)，以及概念驗證漏洞利用程序的代碼。

參考及來源：https://www.bleepingcomputer.com/news/security/new-phoenix-attack-bypasses-rowhammer-defenses-in-ddr5-memory/