Учёные Швейцарской высшей технической школы Цюриха (ETH Zurich, Швейцария) раскрыли механизм атаки ZenHammer, которая позволяет получать контроль над системами на процессорах с архитектурой AMD Zen 2 и Zen 3, памятью DDR4 и защитным механизмом Target Row Refresh. Это новый вариант раскрытой десять лет назад атаки Rowhammer, актуальной для чипов Intel.
Источник изображения: amd.com
В июне 2014 года исследователи университета Карнеги — Меллона и компании Intel описали атаку Rowhammer. Память DDR структурирована по столбцам и строкам, и её крупные фрагменты разбиты на «песочницы» — диапазоны, доступные отдельным приложениям или процессам для безопасности. Суть атаки Rowhammer состоит в запуске приложения, которое тысячи раз за доли секунды обращается к одним и тем же участкам, то есть «стучит по ним молотком». Из-за этого электромагнитное излучение проникает в соседние фрагменты памяти и изменяет в них биты данных, что позволяет вредоносным приложениям повышать привилегии и получать административный контроль в системе.
До настоящего момента атака Rowhammer работала с процессорами Intel и, в меньшей степени, с чипами Arm. Учёные ETH Zurich реализовали её аналог для процессоров AMD и памяти DDR4. Атака получила название ZenHammer, и она позволяет аналогичным образом подменять биты данных в шести (Zen 2) и семи (Zen 3) случаях из десяти, то есть чипы AMD Zen 3 оказываются более уязвимыми, чем Intel Coffee Lake.
Первоначально Rowhammer относилась к атакам локального типа: для её осуществления требовался физический доступ к целевой машине, но впоследствии появились реализации на смартфонах, в веб-браузерах и виртуальных машинах. ZenHammer пока также является локальной атакой. Предполагается, что злоумышленник знает модель центрального процессора на целевой машине, при помощи средств обратного проектирования получил сопоставления адресов DRAM и может выполнять на этой машине программы. Но авторы исследования допускают, что ZenHammer можно реализовать и на основе JavaScript, как это ранее удалось для процессоров Intel.
Исследователи также продемонстрировали подмену битов на чипе AMD Ryzen 7 7700X (микроархитектура Zen 4) с памятью DDR5. Правда, пока успеха удалось добиться лишь на одной машине из десяти. AMD заявила, что средства смягчения данной уязвимости уже существуют.
