新的JavaScript利用现在可以进行DDR4 Rowhammer攻击

阿姆斯特丹弗里耶大学和苏黎世联邦理工学院的学者发表了一篇新的研究论文，描述了Rowhammer攻击的另一种变化。

尽管制造商在过去七年中已采取了许多措施，但该技术被称为SMASH（同步单面锤击），可用于成功触发JavaScript对现代DDR4 RAM卡的攻击。

研究人员说：“尽管减轻了DRAM中的目标行刷新（TRR）的影响，但一些最新的DDR4模块仍然容易受到多面Rowhammer位翻转的影响。”

“ SMASH利用高速缓存替换策略的高级知识来为基于逐出的多面Rowhammer生成最佳访问模式。为了绕过DRAM TRR缓解措施，SMASH精心安排了缓存命中和未命中，以成功触发同步的多面Rowhammer位翻转。”

通过将内存请求与DRAM刷新命令同步，研究人员开发了一种端到端JavaScript漏洞，平均可以在15分钟内完全破坏Firefox浏览器，从而证明Web用户仍然继续受到此类攻击的威胁。

什么是Rowhammer？

首先，快速了解Rowhammer，这是一个总称，指的是利用DDR4系统中的硬件设计怪癖的一类漏洞。内存RAM卡将数据保存在所谓的存储单元（每个单元由一个电容器和一个晶体管组成）内，这些存储单元以矩阵形式排列在RAM的硅芯片上。

但是给定电容器的自然放电速率，存储单元会随着时间的流逝而失去其状态，因此需要定期读取和重写每个单元，以将电容器上的电荷恢复到原始水平。另一方面，增加的DRAM集成电路的密度使得能够提高存储单元之间的电磁相互作用的速率以及更大的数据丢失的可能性。

2014年，研究人员发现，通过对存储行重复执行快速读/写操作（又称为“行锤击”），他们可能会引起电干扰，从而改变附近存储行中存储的数据。

从那时起，已经设计了多种方法，扩展了原始Rowhammer研究的方法和利用场景，以绕过现有保护措施（ECCploit），通过JavaScript（Rowhammer.js），网络数据包（Throwhammer）发起攻击以及在现场进行攻击，可编程门阵列（FPGA）卡（JackHammer），甚至从同一硬件上运行的其他进程读取敏感的内存数据（RAMBleed）

根据调查结果，目标行刷新（TRR）等全行业对策被称为上述所有Rowhammer攻击版本的“最终解决方案”，直到2020年3月VU研究人员展示了一种名为“ TRRespass ”的模糊工具，用于使Rowhammer攻击在受TRR保护的DDR4卡上起作用。

从TRRespass到SMASH

虽然TRRespass旨在使用本机代码实现TRR旁路，但是没有可用的方法在浏览器中通过JavaScript触发它们。这就是SMASH的用武之地，它为攻击者提供了在浏览器中的任意读写原语。

具体来说，当受害者访问由对手控制的恶意网站或包含恶意广告的合法网站时，就会利用JavaScript沙箱内部触发的Rowhammer比特翻转来获得对受害者浏览器的控制权，从而启动利用链。

研究人员说：“ SMASH的当前版本依靠[透明大页面]来构建有效的自动清除模式。” “禁用THP，同时会带来一些性能开销，将停止SMASH的当前实例。”

“此外，我们的漏洞利用特别依靠破坏浏览器中的指针来破坏ASLR并转到伪造对象。在软件或硬件中保护指针的完整性（例如，使用PAC [23]）将阻止当前的SMASH漏洞利用。”

原文来自: thehackernews.com