ECC-geheugen kwetsbaar voor Rowhammer-aanval

[Captain Kirk]

Onderzoekers van de Vrije Universiteit Amsterdam (VUA) hebben een Rowhammer-aanval ontwikkeld die tegen ECC-geheugen kan worden uitgevoerd. Rowhammer maakt het mogelijk voor software om de inhoud van het geheugen te manipuleren en zo volledige controle over de computer te krijgen.

Geheugenchips zijn georganiseerd in een soort rasterpatroon van "rijen" en "kolommen". De afgelopen jaren hebben geheugenchips een steeds grotere capaciteit gekregen, waarbij de geheugencellen steeds dichterbij elkaar worden geplaatst. Hierdoor nemen de kosten af, maar de celdichtheid heeft negatieve gevolgen voor de betrouwbaarheid van het geheugen. Deze dichtheid zorgt ervoor dat de cellen invloed op elkaar kunnen hebben.

Door het herhaaldelijk benaderen van geheugenrijen kan data in nabijgelegen rijen corrupt raken. Rowhammer zorgt ervoor dat bij het herhaaldelijk benaderen van een geheugenrij bits in aangrenzende rijen worden "geflipt". Door het flippen van deze bits is het uiteindelijk mogelijk om lees-schrijftoegang tot het volledige fysieke werkgeheugen te krijgen, waarna het bijvoorbeeld mogelijk is om kernelrechten te krijgen. De in het verleden gedemonstreerde aanvallen werkten echter niet tegen ECC-geheugen.

Error-correcting code (ECC)-geheugen is een bepaald soort geheugen dat extra informatie opslaat waarmee de processor "bit flips" kan detecteren en repareren. ECC-geheugen is kostbaarder dan normaal geheugen en wordt vooral in high-end servers gebruikt. ECC voegt genoeg redundantie toe dat het een enkele bit flip in een "memory word" kan repareren. In het geval van twee bit flips per memory word zorgt het ervoor dat het programma crasht. Alleen in het geval van drie bit flips op de juiste plek kan ECC worden omzeild. Gezien het risico op crashes werd dit altijd als onwaarschijnlijk geacht, aldus de onderzoekers van de VUA.

De onderzoekers zijn een jaar bezig geweest om de werking van ECC-geheugen te onderzoeken. Dat leidde tot het inzicht dat ECC Rowhammer-aanvallen niet stopt, maar alleen vertraagt. Uiteindelijk vonden ze een manier om drie bit flips uit te voeren en zo de ECC-beveiliging te omzeilen. Dit kan echter de nodige tijd in beslag nemen. Afhankelijk van de gekozen exploit en omgeving kan het 32 minuten tot één week duren om kwetsbare bit flips te vinden. Het is daarbij niet nodig om fysieke toegang tot een systeem hebben. De aanval kan ook via een niet- geprivilegieerde remote shell worden uitgevoerd.

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid werd door de onderzoekers ingelicht en coördineerde de communicatie met betrokken partijen. In een website over de nieuwe Rowhammer-aanval, die de naam ECCploit heeft gekregen, doen de onderzoekers verschillende aanbevelingen die organisaties kunnen nemen, waaronder het uitfaseren van geheugen dat kwetsbaar voor Rowhammer is. Tevens is er een paper over de aanval verschenen (pdf). De onderzoekers zullen volgend jaar mei tijdens het IEEE Symposium over Security en Privacy in San Francisco hun bevindingen presenteren.

 

 

bron: security.nl