学術研究者らは、SKハイニックスのDDR5メモリ・チップの最新の保護メカニズムをバイパスするロウハンマー攻撃の新しい亜種を考案した。
ロウハンマー攻撃は、高速の読み書き操作でメモリセルの特定の行に繰り返しアクセスし、近くのビットの値を1から0に、またはその逆に変更するのに十分な電気的干渉を引き起こすことで機能する(ビットの反転)。
攻撃者は、データを破損したり、システム上の権限を増やしたり、悪意のあるコードを実行したり、機密データにアクセスしたりする可能性がある。
これは、特定の行への頻繁なアクセスを検出した場合に、追加のリフレッシュ・コマンドを発行することで、ビット反転を防止します。
特権昇格のためにDDR5をハンマーで叩く
スイスのチューリッヒ工科大学(ETH Zurich University)のコンピュータ・セキュリティ・グループ(COMSEC)の研究者チームとグーグルは、フェニックス(Phoenix)と呼ぶ新しいDDR5ロウハンマー(Rowhammer)攻撃を開発しました。
このテストは、市場の36%を占めると推定される最大手のメモリー・チップ・メーカーであるハイニックス社のDDR5製品で実施されたが、セキュリティ・リスクは他のベンダーの製品にも及ぶ可能性がある。
研究者らは、ハイニックス社がRowhammerに対して実装した複雑なプロテクションをリバースエンジニアリングし、その仕組みを解明した結果、特定のリフレッシュ間隔がミティゲーションによってサンプリングされず、悪用される可能性があることを発見しました。
さらに研究者らは、Phoenixが何千ものリフレッシュ・オペレーションを追跡し、ミスしたリフレッシュ・オペレーションを検出したときに自己修正することで同期する方法を開発した。
TRRの保護を回避するため、Phoenix攻撃におけるRowhammerパターンは、128および2608のリフレッシュ間隔をカバーし、正確な瞬間にのみ特定の起動スロットをハンマーで叩く。
研究者らは、このモデルを使用して、テストプールに含まれる15個のDDR5メモリチップすべてのビットを反転させ、初のRowhammer特権昇格エクスプロイトを作成することができました。
テストでは、「デフォルト設定のコモディティDDR5システムで」root権限を持つシェルを取得するのに2分もかからなかった。
さらに研究者たちは、ターゲット・システムを制御するためにPhoenix攻撃法を使用した実用的な悪用の可能性も探った。
任意のメモリ・リード/ライト・プリミティブを作成するためにページ・テーブル・エントリ(PTE)をターゲットにした場合、テスト対象のすべての製品に脆弱性があることが判明した。
別のテストでは、SSH認証を破るために、同居するVMのRSA-2048鍵を標的とし、DIMMの73%が露出していることを発見した。
3つ目の評価では、研究者は、テストしたチップの33%で、sudoバイナリを変更してローカル権限をrootレベルに引き上げることができることを発見した。
source:COMSEC チューリッヒ工科大学
上の表は、テストしたすべてのメモリチップが、Phoenix 攻撃で使用されている Rowhammer パターンのいずれかに脆弱であることを示しています。しかし、リフレッシュ間隔が128と短い方がより効果的で、平均してより多くのビット・フリップが発生します。
Phoenixは現在、CVE-2025-6202として追跡されており、High-severityスコアを獲得しています。2021年1月から2024年12月までに製造されたすべてのDIMM RAMモジュールに影響します。
Rowhammerは業界全体のセキュリティ問題であり、既存のメモリモジュールでは修正できませんが、ユーザーはDRAMのリフレッシュ間隔(tREFI)を3倍にすることで、Phoenix攻撃を阻止することができます。
しかし、このようなストレスはエラーやデータ破損を引き起こし、システムを不安定にする可能性がある。
Phoenix:Rowhammer Attacks on DDR5 with Self-Correcting Synchronization」と題された技術論文が発表され、来年のIEEE Symposium on Security and Privacyでも発表される予定である。
研究者らはまた、TRR実装をリバースエンジニアリングするためのFPGA(Field-Programmable Gate Array)に基づく実験や、概念実証エクスプロイトのコードなど、Phoenix攻撃を再現するためのリソースを含むリポジトリも共有している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments