Neues JavaScript-Exploit kann jetzt DDR4-Rowhammer-Angriffe durchführen

Cyber Security News

Wissenschaftler der Vrije Universität in Amsterdam und der ETH Zürich haben ein neues Forschungspapier veröffentlicht, das eine weitere Variante des Rowhammer-Angriffs beschreibt.

Die SMASH (Synchronized MAny-Sided Hammering) getaufte Technik kann verwendet werden, um den Angriff erfolgreich aus JavaScript auf modernen DDR4-RAM-Karten auszulösen, ungeachtet umfangreicher Mitigations, die von den Herstellern in den letzten sieben Jahren eingeführt wurden.

“Trotz ihrer In-DRAM Target Row Refresh (TRR) Mitigations sind einige der neuesten DDR4-Module immer noch anfällig für vielseitige Rowhammer-Bitflips”, so die Forscher.

“SMASH nutzt High-Level-Wissen über Cache-Replacement-Policies aus, um optimale Zugriffsmuster für Eviction-basiertes Many-sided Rowhammer zu generieren. Um die TRR-Abschwächungen im DRAM zu umgehen, plant SMASH sorgfältig Cache-Hits und -Misses, um erfolgreich synchronisierte vielseitige Rowhammer-Bitflips auszulösen.”

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

Durch die Synchronisierung von Speicheranfragen mit DRAM-Refresh-Befehlen entwickelten die Forscher einen End-to-End-JavaScript-Exploit, der den Firefox-Browser in durchschnittlich 15 Minuten vollständig kompromittieren kann, was beweist, dass Webbenutzer weiterhin durch solche Angriffe gefährdet sind.

Was ist Rowhammer?

Zunächst eine kurze Einführung in Rowhammer, ein Oberbegriff für eine Klasse von Angriffen, die eine Hardware-Design-Eigenheit in DDR4-Systemen ausnutzen. Memory-RAM-Karten speichern Daten in so genannten Speicherzellen (die jeweils aus einem Kondensator und einem Transistor bestehen), die auf dem Siliziumchip des RAMs in Form einer Matrix angeordnet sind.

Aber angesichts der natürlichen Entladungsrate von Kondensatoren neigen die Speicherzellen dazu, ihren Zustand im Laufe der Zeit zu verlieren und erfordern daher ein periodisches Auslesen und Neubeschreiben jeder Zelle, um die Ladung des Kondensators wieder auf ihren ursprünglichen Stand zu bringen. Auf der anderen Seite hat die erhöhte Dichte der integrierten DRAM-Schaltkreise eine höhere Rate an elektromagnetischen Wechselwirkungen zwischen den Speicherzellen und eine größere Möglichkeit des Datenverlusts ermöglicht.

Im Jahr 2014 fanden Forscher heraus, dass sie durch die wiederholte Durchführung von schnellen Lese-/Schreiboperationen auf einer Speicherzeile, immer und immer wieder – auch bekannt als “Row Hammering” – eine elektrische Störung induzieren konnten, die die in nahegelegenen Speicherzeilen gespeicherten Daten verändern würde.

Seitdem wurden mehrere Methoden entwickelt, die auf den Methoden und Ausnutzungsszenarien der ursprünglichen Rowhammer-Forschung aufbauen, um eingerichtete Schutzmechanismen zu umgehen (ECCploit), Angriffe über JavaScript (Rowhammer.js), Netzwerkpakete (Throwhammer) und FPGA-Karten (JackHammer) zu starten und sogar sensible Speicherdaten von anderen Prozessen zu lesen, die auf der gleichen Hardware laufen (RAMBleed)

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

Als Reaktion auf die Erkenntnisse wurden industrieweite Gegenmaßnahmen wie Target Row Refresh (TRR) als “ultimative Lösung” für alle genannten Rowhammer-Angriffsvarianten angepriesen, bis VU-Forscher im März 2020 ein Fuzzing-Tool namens “TRRespass” demonstrierten, mit dem Rowhammer-Angriffe auf den TRR-geschützten DDR4-Karten zum Laufen gebracht werden konnten.

Von TRRespass zu SMASH

Während TRRespass darauf abzielt, eine TRR-Umgehung mit nativem Code zu erreichen, gab es keine Methoden, um sie im Browser von JavaScript aus auszulösen. Hier kommt SMASH ins Spiel, das dem Angreifer ein beliebiges Lese- und Schreibprimitiv im Browser gewährt.

Konkret wird die Exploit-Kette ausgelöst, wenn ein Opfer eine bösartige Website unter der Kontrolle des Angreifers oder eine legitime Website besucht, die eine bösartige Display enthält, und dabei die Rowhammer-Bitflips ausnutzt, die innerhalb der JavaScript-Sandbox ausgelöst werden, um die Kontrolle über den Browser des Opfers zu erlangen.

“Die aktuelle Version von SMASH verlässt sich auf [transparent huge pages] für die Konstruktion von effizienten, sich selbst ausschließenden Mustern”, so die Forscher. “Das Deaktivieren von THP führt zwar zu einem gewissen Performance-Overhead, würde aber die aktuelle Instanz von SMASH stoppen.”

“Darüber hinaus beruht unser Exploit speziell auf der Korrumpierung von Zeigern im Browser, um ASLR zu brechen und auf ein gefälschtes Objekt zu schwenken. Der Schutz der Integrität von Zeigern in der Software oder in der Hardware (z. B. mit PAC [23]) würde den aktuellen SMASH-Exploit stoppen.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com