Еще в 2014 году выяснилось, что компьютерная память уязвима для особого типа атак, получившего название Rowhammer. Чтобы устранить новую угрозу, разработчики памяти изменили ряд механизмов обновления ячеек и стали считать, что они защитили модули DRAM от атак. В марте прошлого года выяснилось, что память DDR4 все еще уязвима для Rowhammer, хотя стратегия взлома была довольно сложной. Новое исследование показало, что взломать DDR4 легко прямо в браузере.
Группа специалистов по безопасности из Свободного университета Амстердама и Высшей технической школы Цюриха (ETH Zurich) сообщила, что они выявили новый и наиболее опасный тип атаки Rowhammer. Новый метод называется SMASH (Synchronized MAny-Sided Hammering), который может быть инициирован с помощью JavaScript. Исследователи утверждают, что многолетние усилия разработчиков оперативной памяти фактически провалились. Память поколения DDR4 по-прежнему уязвима для атак Rowhammer.
Напомним, что атака Rowhammer заключается в том, что ячейки памяти подвергаются серии быстрых и многократных циклов перезаписи. Физически микросхемы DRAM заряжают и разряжают конденсаторы, которые являются ячейками памяти. Поскольку плотность ячеек (конденсаторов) в современных микросхемах памяти очень высока, между соседними ячейками происходит электромагнитное взаимодействие. Проще говоря, если интенсивно "стучать" по определенной области памяти, то соседние ячейки тоже меняют заряд-происходит принудительная запись в защищенные или недоступные области памяти.
Новый метод обхода защиты обновления целевой строки Rowhammer (TRR) основан на тщательном планировании попадания и промаха для замены кэша. Для этого запросы памяти синхронизируются с командами обновления DRAM. Чтобы облегчить этот процесс, в JavaScript был создан эксплойт, который доказал свою эффективность на практике. Так, браузер Firefox в среднем удавалось скомпрометировать за 15 минут. По сути, метод SMASH-это открытые ворота к изощренной атаке TRRespass, раскрытой в марте прошлого года. Теперь этой уязвимостью может воспользоваться даже любитель. Для этого достаточно создать сайт с вредоносным кодом или запустить эксплойт через вредоносную рекламу. Оба этих пути позволяют злоумышленнику взять под контроль браузер жертвы, чтобы запустить эксплойт. "Текущая версия SMASH опирается на [прозрачные огромные страницы] для создания эффективных самозагружающихся шаблонов", — говорят исследователи. — Отключение THP с некоторым улучшением производительности остановит текущую версию SMASH". Но кто мешает вам создавать другие версии?
