新的网络攻击绕过 AMD CPU 上的 RowHammer 防御

苏黎世联邦理工学院的网络安全研究人员开发了 RowHammer DRAM（动态随机存取存储器）攻击的新变体，尽管采取了目标行刷新 (TRR) 等缓解措施，但该攻击首次成功针对 AMD Zen 2 和 Zen 3 系统。

研究人员表示：“这一结果证明 AMD 系统与 Intel 系统一样容易受到 Rowhammer 的攻击，考虑到目前 AMD 在 x86 桌面 CPU 上的市场份额约为 36%，这大大增加了攻击面。 ”

该技术的代号为ZenHammer，它还首次可以在 DDR5 设备上触发 RowHammer 位翻转。

RowHammer于 2014 年首次公开披露，是一种众所周知的攻击，它利用 DRAM 的存储单元架构，通过重复访问特定行（又称锤击）来更改数据，从而导致单元的电荷泄漏到相邻单元。

这可能会导致相邻内存行中的随机位翻转（从 0 到 1，或反之亦然），从而改变内存内容并可能促进权限升级，从而损害系统的机密性、完整性和可用性。

这些攻击利用了内存阵列中这些单元的物理接近性，随着 DRAM 技术扩展和存储密度的增加，这个问题可能会变得更加严重。

苏黎世联邦理工学院的研究人员在 2022 年 11 月发表的一篇论文中指出： “随着 DRAM 的不断扩展，RowHammer 位翻转可能会在较小的激活计数下发生，因此良性工作负载的 DRAM 行激活率可能会接近甚至超过 RowHammer 阈值。”

“因此，即使没有恶意方在系统中执行 RowHammer 攻击，系统也可能会经历位翻转或频繁触发 RowHammer 防御机制，从而导致数据损坏或性能显着下降。”

DRAM 制造商针对 RowHammer 实施的关键缓解措施之一是TRR，它是一个总称术语，用于刷新确定要频繁访问的目标行的机制。

这样做的想法是生成更多的内存刷新操作，以便受害行要么在位翻转之前被刷新，要么在由于 RowHammer 攻击而位翻转之后得到纠正。

ZenHammer 与TRRespass和SMASH一样，通过对 AMD 系统中的秘密 DRAM 地址函数进行逆向工程，并采用改进的刷新同步以及刷新和防护指令的调度来绕过 TRR 护栏，以在 10 个样本 Zen 2 设备中的 7 个和 6 个样本上触发位翻转。 10 个 Zen 3 设备。

该研究还得出了最佳的锤击指令序列，以提高行激活率，从而促进更有效的锤击。

研究人员表示：“我们的结果表明，使用 CLFLUSHOPT 定期加载 (MOV) 从缓存中清除攻击者，在访问攻击者（‘分散’风格）后立即发出，是最佳选择。”

ZenHammer 的独特之处在于，它是第一个可以在 AMD Zen 4 微架构平台上配备 DDR5 芯片的系统上触发位翻转的方法。也就是说，它仅适用于 10 台测试设备中的一台（Ryzen 7 7700X）。

值得注意的是，DDR5 DRAM 模块之前被认为不会受到 RowHammer 攻击，因为它们用一种称为刷新管理的新型保护取代了 TRR。

研究人员表示：“DDR5 的变化，例如改进的 RowHammer 缓解措施、片上纠错码 (ECC) 和更高的刷新率 (32 毫秒)，使得触发位翻转变得更加困难。”

“鉴于 10 个 DDR5 设备中的 9 个缺乏位翻转，需要做更多的工作来更好地了解潜在的新 RowHammer 缓解措施及其安全保证。”

AMD 在一份安全公告中表示，它正在评估 DDR5 设备上的 RowHammer 位翻转，并将在完成后提供更新。

“AMD 微处理器产品包括专为满足行业标准 DDR 规范而设计的内存控制器，”它补充道。 “对 RowHammer 攻击的敏感性因 DRAM 设备、供应商、技术和系统设置而异。”