Ще в 2014 році з’ясувалося, що комп’ютерна пам’ять вразлива для особливого виду атак, які отримали назву Rowhammer. Для усунення нової загрози розробники пам’яті змінили ряд механізмів поновлення осередків і стали вважати, що захистили модулі DRAM від атак. У березні минулого року стало відомо, що пам’ять DDR4 як і раніше вразлива до Rowhammer, хоча стратегія злому була досить складною. Нове дослідження показало, що злом DDR4 легко провести прямо в браузері.
Група фахівців з безпеки з Амстердамського вільного університету та Вищої технічної школи в Цюріху (ETH Zurich) повідомила, що виявила нову найнебезпечнішу різновид атаки Rowhammer. Новий метод отримав назву SMASH (Synchronized MAny-Sided Hammering), ініціювати який можна за допомогою JavaScript. Дослідники констатують, що багаторічні зусилля розробників оперативної пам’яті фактично провалилися. Пам’ять в поколінні DDR4 все так же вразлива до атак Rowhammer.
Нагадаємо, атака Rowhammer полягає в тому, що осередки пам’яті піддаються серії швидких і багаторазових циклів перезапису. Фізично в мікросхемах DRAM відбувається заряд і розряд конденсаторів, які і є осередками пам’яті. Оскільки щільність розміщення осередків (конденсаторів) в сучасних чіпах пам’яті дуже велика, між сусідніми осередками відбувається електромагнітна взаємодія. Простіше кажучи, якщо інтенсивно «стукати» по певній галузі пам’яті, що є сусідами з нею осередки також змінюють заряд – відбувається примусовий запис в захищені або недоступні області пам’яті.
Новий метод обходу захисту Target Row Refresh (TRR) від Rowhammer спирається на ретельне планування влучень і промахів для заміни кеша. Для цього запити до пам’яті синхронізуються з командами поновлення DRAM. Для полегшення процесу на JavaScript був створений експлоїт, який на практиці довів свою працездатність. Так, браузер Firefox в середньому вдавалося скомпрометувати за 15 хвилин. По суті метод SMASH – це відкриті ворота для складної атаки TRRespass, виявленої в березні минулого року. Тепер цю уразливість зможе експлуатувати навіть дилетант. Для цього достатньо створити сайт з шкідливим кодом або запустити експлоїт через шкідливу рекламу. Обидва ці шляхи дозволяють зловмисникові взяти під контроль браузер жертви для запуску експлоїта.
«Поточна версія SMASH покладається на [прозорі величезні сторінки] для побудови ефективних шаблонів самовигрузкі, – кажуть дослідники. Відключення THP при деякому збільшенні продуктивності зупинить поточну версію SMASH». Але хто заважає створити інші версії? Джерело