Исследователи из Швейцарской высшей технической школы Цюриха (ETH Zürich) и Google обнаружили новый высокоэффективный вариант атаки RowHammer под названием Phoenix. Этот эксплойт успешно обходит передовые механизмы защиты в современных чипах памяти DDR5 производства SK Hynix, позволяя осуществить полное повышение привилегий до уровня суперпользователя на стандартном настольном компьютере всего за 109 секунд. Атаке присвоен идентификатор CVE-2025-6202 и рейтинг опасности 7.1 по шкале CVSS.
RowHammer представляет собой аппаратную уязвимость, впервые продемонстрированную в 2014 году. Она возникает, когда многократное обращение к одной строке памяти в чипе DRAM вызывает электрические помехи, которые приводят к искажению данных («перевороту битов») в соседних строках. С ростом плотности ячеек памяти, вызванным их миниатюризацией и сближением, новые поколения чипов становятся более восприимчивыми к этой проблеме.
Исследование, опубликованное специалистами ETH Zürich в 2020 году, подтвердило, что более новые чипы DRAM уязвимее, поскольку для вызова битовой ошибки требуется меньшее количество активаций ячеек памяти. Эффективность атаки RowHammer также зависит от множества переменных: условий окружающей среды, таких как температура и напряжение, производственных вариаций, шаблонов хранимых данных, паттернов доступа к памяти и политик её контроллера.
Атака Phoenix доказала, что встроенные средства защиты памяти DDR5, такие как коррекция ошибок на кристалле (on-die ECC) и технология целевого обновления строк (Target Row Refresh, TRR), не являются непреодолимым препятствием. Эксплойт обходит защиту TRR, используя тот факт, что механизм смягчения не отслеживает определённые интервалы обновления, что позволяет злоумышленнику инициировать переворот битов.
В ходе исследования были протестированы 15 чипов памяти DDR5 от южнокорейского поставщика SK Hynix, произведенных в период с 2021 по 2024 год. Уязвимыми оказались все без исключения модули, что доказывает возможность надёжного инициирования битовых ошибок в продуктах этого производителя в «больших масштабах». Устройства DRAM, уже находящиеся в эксплуатации, не могут быть обновлены, а значит, останутся уязвимыми на протяжении многих лет.
Исследователи продемонстрировали два практических сценария эксплуатации Phoenix. Первый позволяет взломать аутентификацию SSH путем атаки на ключи RSA-2048, хранящиеся в памяти соседней виртуальной машины. Второй, реализованный на стандартной системе с настройками по умолчанию, использует бинарный файл
В качестве эффективной меры противодействия атаке Phoenix авторы исследования рекомендуют увеличить частоту обновления памяти до трехкратного значения (3x) по сравнению со стандартным. На тестовых системах данная мера полностью предотвратила возможность вызова переворота битов с помощью нового эксплойта.
Phoenix — не первая атака, обходящая стандартные средства защиты. Ранее неэффективность ECC и TRR была доказана такими эксплойтами, как TRRespass, SMASH, Half-Double и Blacksmith. За несколько недель до публикации данных о Phoenix были раскрыты две другие атаки. Первая, OneFlip, разработанная Университетом Джорджа Мейсона и Технологическим институтом Джорджии, вызывает одиночный переворот бита для изменения весов моделей глубоких нейронных сетей (DNN) и провоцирования непредсказуемого поведения.
Второй недавний эксплойт, , от тех же исследователей, стал первой комплексной атакой RowHammer, эффективной против серверных систем с памятью DDR4 и ECC. Он обходит защиту ECC путем точного индуцирования битовых ошибок в конкретных ячейках памяти, преодолевая усиленные механизмы безопасности, применяемые в серверах.
Изображение носит иллюстративный характер
RowHammer представляет собой аппаратную уязвимость, впервые продемонстрированную в 2014 году. Она возникает, когда многократное обращение к одной строке памяти в чипе DRAM вызывает электрические помехи, которые приводят к искажению данных («перевороту битов») в соседних строках. С ростом плотности ячеек памяти, вызванным их миниатюризацией и сближением, новые поколения чипов становятся более восприимчивыми к этой проблеме.
Исследование, опубликованное специалистами ETH Zürich в 2020 году, подтвердило, что более новые чипы DRAM уязвимее, поскольку для вызова битовой ошибки требуется меньшее количество активаций ячеек памяти. Эффективность атаки RowHammer также зависит от множества переменных: условий окружающей среды, таких как температура и напряжение, производственных вариаций, шаблонов хранимых данных, паттернов доступа к памяти и политик её контроллера.
Атака Phoenix доказала, что встроенные средства защиты памяти DDR5, такие как коррекция ошибок на кристалле (on-die ECC) и технология целевого обновления строк (Target Row Refresh, TRR), не являются непреодолимым препятствием. Эксплойт обходит защиту TRR, используя тот факт, что механизм смягчения не отслеживает определённые интервалы обновления, что позволяет злоумышленнику инициировать переворот битов.
В ходе исследования были протестированы 15 чипов памяти DDR5 от южнокорейского поставщика SK Hynix, произведенных в период с 2021 по 2024 год. Уязвимыми оказались все без исключения модули, что доказывает возможность надёжного инициирования битовых ошибок в продуктах этого производителя в «больших масштабах». Устройства DRAM, уже находящиеся в эксплуатации, не могут быть обновлены, а значит, останутся уязвимыми на протяжении многих лет.
Исследователи продемонстрировали два практических сценария эксплуатации Phoenix. Первый позволяет взломать аутентификацию SSH путем атаки на ключи RSA-2048, хранящиеся в памяти соседней виртуальной машины. Второй, реализованный на стандартной системе с настройками по умолчанию, использует бинарный файл
sudo для повышения локальных привилегий до уровня root-пользователя за 109 секунд. В качестве эффективной меры противодействия атаке Phoenix авторы исследования рекомендуют увеличить частоту обновления памяти до трехкратного значения (3x) по сравнению со стандартным. На тестовых системах данная мера полностью предотвратила возможность вызова переворота битов с помощью нового эксплойта.
Phoenix — не первая атака, обходящая стандартные средства защиты. Ранее неэффективность ECC и TRR была доказана такими эксплойтами, как TRRespass, SMASH, Half-Double и Blacksmith. За несколько недель до публикации данных о Phoenix были раскрыты две другие атаки. Первая, OneFlip, разработанная Университетом Джорджа Мейсона и Технологическим институтом Джорджии, вызывает одиночный переворот бита для изменения весов моделей глубоких нейронных сетей (DNN) и провоцирования непредсказуемого поведения.
Второй недавний эксплойт, , от тех же исследователей, стал первой комплексной атакой RowHammer, эффективной против серверных систем с памятью DDR4 и ECC. Он обходит защиту ECC путем точного индуцирования битовых ошибок в конкретных ячейках памяти, преодолевая усиленные механизмы безопасности, применяемые в серверах.
