目前針對(duì)Rowhammer攻擊的防護(hù)措施依舊不足。

當(dāng)前的解決方案對(duì)于已知的Rowhammer變種是有效的，但是攻擊的可能性是無(wú)窮無(wú)盡的，仍然有可能被利用。新發(fā)現(xiàn)表明，內(nèi)存位翻轉(zhuǎn)在很多設(shè)備上都有效，包括Google、三星和OnePlus的流行智能手機(jī)。

Rowhammer風(fēng)險(xiǎn)持續(xù)存在

攻擊通過(guò)利用動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM)中可用存儲(chǔ)單元的緊密接近來(lái)發(fā)揮作用。

通過(guò)對(duì)一行進(jìn)行足夠的讀寫操作，相鄰數(shù)據(jù)位的值可以從1變?yōu)?，反之亦然(位翻轉(zhuǎn))。當(dāng)前攻擊的變種最多訪問(wèn)兩個(gè)內(nèi)存行(稱為攻擊者)。

這個(gè)改變可能導(dǎo)致拒絕服務(wù)情況、增加計(jì)算機(jī)特權(quán)，甚至允許劫持系統(tǒng)。而隨著時(shí)間的推移，Rowhammer攻擊被證明是通過(guò)破壞Linux內(nèi)核，打破云隔離、根移動(dòng)設(shè)備、控制Web瀏覽器，通過(guò)網(wǎng)絡(luò)定位服務(wù)器應(yīng)用程序或提取存儲(chǔ)在RAM中的敏感信息。

迄今為止，最好的防御方法稱為“目標(biāo)行刷新”(TRR)，它可以消除Rowhammer攻擊的風(fēng)險(xiǎn)。但由于技術(shù)保護(hù)，關(guān)于TRR是如何工作的，以及每個(gè)供應(yīng)商/制造商是如何部署TRR的信息很少。

VUSec(VU Amsterdam的系統(tǒng)和網(wǎng)絡(luò)安全組織)的研究人員說(shuō)，與普遍的看法相反，TRR并不是單一的緩解機(jī)制。這是一個(gè)籠統(tǒng)的術(shù)語(yǔ)，它定義了不同級(jí)別的硬件堆棧上的多個(gè)解決方案，也就是說(shuō)制造商采用了不同的途徑來(lái)獲得相同的結(jié)果。

目前，VUSec對(duì)所有已知的Rowhammer變種進(jìn)行了測(cè)試，對(duì)一批啟用TRR的42個(gè)DDR4模塊進(jìn)行了測(cè)試，結(jié)果沒(méi)有發(fā)生位翻轉(zhuǎn)，表明防御措施對(duì)已知攻擊有效。而不同供應(yīng)商的DRAM芯片中有多種TRR實(shí)現(xiàn)方法，而且每個(gè)芯片的易受攻擊單元的分布方式不同。

TRRespass-Rowfuzzer

在提供SoftMC(基于FPGA的基礎(chǔ)架構(gòu))的蘇黎世ETH研究人員的幫助下，VUSec試驗(yàn)了DRAM芯片并了解其內(nèi)部操作。

實(shí)驗(yàn)表明了，在熟悉緩解措施后很容易發(fā)生翻轉(zhuǎn)位。此外，他們還注意到，由于允許的行激活次數(shù)不同，DDR4芯片上的漏洞比DDR3上的漏洞更嚴(yán)重(后者的漏洞激活數(shù)更高)。

他們發(fā)現(xiàn)，當(dāng)前的TRR跟蹤攻擊者敲擊的有攻擊行數(shù)有限，其中兩個(gè)是當(dāng)前演示的攻擊中使用最多的。

緩解措施顯然不能同時(shí)保留所有訪問(wèn)行的信息，因?yàn)檫@將需要大量的額外內(nèi)存，也無(wú)法刷新所有受害者

因此，他們繼續(xù)試驗(yàn)。通過(guò)對(duì)SoftMC的最新研究，VUSec創(chuàng)建了一個(gè)名為TRResspass的模糊工具，在現(xiàn)代系統(tǒng)上識(shí)別TRR感知的RowHammer訪問(wèn)模式。

雖然模糊測(cè)試是軟件測(cè)試中的常用技術(shù)，但我們實(shí)現(xiàn)了第一個(gè)用來(lái)觸發(fā)DRAM中的Rowhammer變種的模糊測(cè)試器

TRResspass是開源的，通過(guò)在DRAM中的各個(gè)位置重復(fù)選擇隨機(jī)行來(lái)工作。研究人員開發(fā)了更廣泛的類別，他們稱之為“多面Rowhammer”。

據(jù)了解，TRResspass在啟用TRR保護(hù)的情況下，為42個(gè)內(nèi)存模塊中的13個(gè)恢復(fù)了有效的訪問(wèn)模式。

他們強(qiáng)調(diào)，TRResspass引起位翻轉(zhuǎn)的所有模塊都容易受到至少兩種錘擊模式的影響。同樣，模式從一個(gè)模塊到另一個(gè)模塊也有所不同。

讓模糊測(cè)試器在13款智能手機(jī)中的低功耗DDR4模塊上工作，使它成功地在5種型號(hào)中找到導(dǎo)致位翻轉(zhuǎn)的Rowhammer模式：Google Pixel、Google Pixel 3、LG G7 ThinQ、OnePlus 7和Samsung Galaxy S10e(G970F/DS)。

盡管沒(méi)有通過(guò)調(diào)整攻擊來(lái)提高效率，但使用更復(fù)雜的模式利用該漏洞卻產(chǎn)生了令人印象深刻的結(jié)果：

獲得內(nèi)核權(quán)限所需的最長(zhǎng)時(shí)間是3小時(shí)15分鐘，而最短時(shí)間是2.3秒。他們能夠在39分鐘內(nèi)從受信任的RSA-2048密鑰偽造簽名(在其他芯片上，可能需要一分鐘以上的時(shí)間)。

只需要用一個(gè)內(nèi)存模塊就可以繞過(guò)sudo權(quán)限檢查，并且花費(fèi)了54分鐘。

2019年11月，VUSec披露了新型的Rowhammer攻擊，但新的緩解措施實(shí)施起來(lái)并不容易，并且需要花費(fèi)一些時(shí)間來(lái)部署。

最后，VUSec表示，還沒(méi)有完全可靠的解決方案可以應(yīng)對(duì)Rowhammer，諸如ECC或使用大于1倍的內(nèi)存刷新率等權(quán)宜之計(jì)已經(jīng)沒(méi)有效果了。DDR4內(nèi)存仍在Rowhammer的陰影之下。