調査：「不死身」と見なされるDDR4メモリはRowhammerの脆弱性の影響を受けます

China Semicon Chinaのカンファレンスで行われたThird I / O社のアメリカ人研究者は、DDR4チップもRowhammerの脆弱性に対して脆弱であると述べたレポートを発表しました。 以前は、このタイプのメモリは2015年春にGoogleの情報セキュリティスペシャリストによって発見されたこの脆弱性の影響を受けないと考えられていました。

問題は何ですか

Rowhammerの悪用手法に関する2015年3月の説明で、Project Zero Googleチームの研究者は、問題はDDR3チップのDIMMモジュールに保存されている個々のデータビットの値を変更している（ビットフリッピング）と述べました。



DDRメモリは、行ブロックと列ブロックの配列です。 これらは、さまざまなアプリケーションとオペレーティングシステムによってアクセスされます。 大きなメモリには、それぞれ独自の「サンドボックス」があり、特定のプロセスまたはアプリケーションのみにアクセスできます。



一瞬で何百回も何千回もそのような領域の特定の行にアクセスするソフトウェアを実行する場合（ハンマーで「タップする」-ハンマーの名前）、特定の物理現象により、これは隣接するメモリ領域に影響を与える可能性があります。 これにより、ビットの値がゼロから1に、またはその逆に変化する可能性があります。



ロックされたメモリ領域の内容にさえ影響を与える能力を獲得することにより、攻撃者は、管理者までの特権昇格につながる攻撃を実行できます。 したがって、悪意のあるコードを実行したり、ユーザーやプログラムの動作を傍受したりする可能性があります。



その後、他の研究者は、多数のサイトを使用してコンテンツをユーザーに配信するJavaScriptコードを使用して、Rowhammerの脆弱性を悪用する方法を発見しました 。 このエクスプロイトの制限にもかかわらず、標準設定とHaswellチップを搭載したLenovo x230 Ivy Bridgeラップトップでのみ機能しましたが、脆弱なDIMMの物理的欠陥を使用したソフトウェア攻撃の事実は注目に値します。

問題はより深刻です

MicronやSamsungなどの多くのDDR4チップ企業は、TRR（Targeted Row Refresh）テクノロジーを使用しているため、自社製品は脆弱ではないと述べています。



Third I / Oの研究者は、これらのステートメントの有効性をテストし、12種類のDDR4チップをテストすることを決定しました。 脆弱なチップには、MicronおよびGeil製品が含まれ、G.Skill製品はテストに合格しました。



テストでは、サードI / Oで作成されたMemesisと呼ばれるツールを使用しました。これにより、研究者は、特に1つのメモリで動作する多数のプロセスを起動しました。 Rowhammer攻撃を繰り返した以前の実験とは異なり、今回は、セルがゼロまたは1のみを含むメモリ領域だけでなく、研究者が「タップ」しました。 彼らは、いわゆる「データパターンキラー」を開発しました。これにより、場合によっては、値の変化の頻度を他のパターンと比較してビット単位で50％増やすことができました。



16進形式では、次のようになります。

492492492492492492492492492492492492492492492492
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

バイナリでは、このように：

 0100100100100100100100100100100100100100100100100100100100100100 1001001001001001001001001001001001001001001001001001001001001001 0010010010010010010010010010010010010010010010010010010010010010
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

テストは、ECC（エラー訂正コード）と呼ばれるRowhammer保護を備えたDDR3チップの場合にも成功しました。



チップの選択が少ないにもかかわらず、研究者は、以前は不可能と考えられていたDDR4メモリに対するRowhammer攻撃の再現性を証明できたと確信しています。

それほど悪くない

Rowhammerの発見以来、過去1年間にさまざまな研究者によって特定された脅威にもかかわらず、そのような攻撃を実行することは簡単な作業ではありません。 Third I / Oのテクニカルディレクター兼共同設立者であるMark Lanteigne 氏は Ars Technicaに、現時点では「現在の運用上の脅威」は存在しないと述べましたが、一般的に、既存の状況はチップメーカーのプレスリリースが示すほどクラウドレスではありません。



研究者たちの目標は、ビット反転攻撃のリスクが本物であることを実証することだと言います。 これは、DDR3およびDDR4チップメーカーが自社製品の安全性により注意を払う必要があることを意味します。