Rowhammer-aanvallen kunnen ECC geheugenbescherming omzeilen

Onderzoekers van de Vrije Universiteit in Amsterdam hebben in een paper een nieuwe variatie van de Rowhammer-aanval beschreven, waardoor de aanval succesvol is op ECC-geheugen. Rowhammer is een groep exploits die gebruikmaken van een fout in de ontwerpen van moderne geheugenkaarten.

Een geheugenkaart slaat standaard tijdelijke data op in opslagunits genaamd ‘cells’, die met diverse rijen op de fysieke siliconenchip een grid vormen. In 2014 ontdekten onderzoekers dat ze door herhaaldelijk data in een rij uit te lezen, een elektrisch veld konden maken dat data in nabijgelegen rijen kon aanpassen. Dat veroorzaakte datacorruptie, maar kon het ook mogelijk maken om data op malafide manieren te manipuleren.

ECC-geheugen

In de jaren daarna zijn er diverse aanvallen naar buiten gekomen, maar in het nieuwe onderzoek is er weer een nieuwe variatie bijgekomen. Deze variant kan het ECC-geheugen omzeilen, wat een geheugenbescherming is waarvan hardware-fabrikanten zeiden dat het Rowhammer-aanvallen kon detecteren en voorkomen.

ECC staat voor Error-Correcting Code en is een vorm van geheugenopslag dat geïmplementeerd is als controlemechanisme met een high-end RAM. Meestal zit ECC is dure of belangrijke systemen. Het ECC-geheugen werkt door bescherming te bieden tegen kwaadaardige omzettingen van bits, wat gebeurt bij de Rowhammer-aanvallen. Maar het beschermingsmechanisme blijkt nu limieten te hebben.

De onderzoekers stellen dat het ECC-geheugen slechts één zogeheten ‘bit flip’ tegelijkertijd in een geheugensegment kan detecteren en corrigeren. Komen er twee bit flips tegelijkertijd voor in een geheugensegment, dan kan het ECC-geheugen dat niet aan. In dit geval wordt de onderliggende app stopgezet om data-corruptie stop te zetten. Maar bij drie bit flips op hetzelfde moment crasht het ECC-geheugen niet en reageert het zelfs helemaal niet. Daardoor wordt de bescherming omzeild.

Weinig gevaarlijk

De Rowhammer-aanvallen zijn echter alleen maar theoretische aanvallen die door onderzoekers bekeken worden. Ze zijn nooit in het wild misbruikt. Bovendien duurt het misbruiken van deze kwetsbaarheid tussen de 32 minuten en een week, waardoor het niet heel erg gevaarlijk is.