Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas

Se dio a conocer la noticia de qué investigadores de ETH Zurich desarrollaron el ataque ZenHammer, la cual es una variante de los ataques RowHammer adaptada para plataformas con procesadores AMD. Este ataque se enfoca en modificar el contenido de bits individuales en la memoria dinámica de acceso aleatorio (DRAM).

Los investigadores mencionan que el ataque ZenHammer logra corromper la memoria incluso en presencia del mecanismo TRR (Target Row Refresh), diseñado para proteger contra la corrupción de celdas de memoria en filas adyacentes.

Según los investigadores, los sistemas basados en CPU AMD Zen 3 son más vulnerables que los sistemas Intel Coffee Lake y son más susceptibles a ser atacados de manera efectiva. En los sistemas AMD Zen 2, el ataque se logró en 7 de cada 10 chips DDR4 probados, mientras que en los sistemas Zen 3 fue en 6 de cada 10 chips.

El trabajo realizado demuestra que es posible activar cambios de bits Rowhammer en dispositivos DDR4 en sistemas AMD Zen 2 y Zen 3 a pesar de las mitigaciones TRR implementadas. Esto muestra que los sistemas AMD son igualmente vulnerables a Rowhammer que los sistemas Intel, lo que amplía significativamente la superficie de ataque, dado el considerable mercado de AMD en CPU de escritorio x86.

Sobre ZenHammer

Como ya se mencionó al inicio, ZenHammer es un nuevo método de ataque basado en el método RowHammer, el cual se basa en la lectura continua de la misma región de la memoria DRAM, lo que provoca fluctuaciones de voltaje y pérdida de carga en celdas vecinas. Esto puede cambiar el valor de los datos almacenados en esas celdas. Los investigadores identificaron características del mapeo de la memoria física y sincronización con mecanismos de actualización de memoria en procesadores AMD, permitiendo recrear el direccionamiento DRAM, determinar direcciones de celdas vecinas, evitar almacenamiento en caché y calcular patrones de operaciones que causen pérdida de carga.

Para protegerse, los fabricantes usan TRR (Target Row Refresh) y memoria con ECC (corrección de errores). TRR bloquea la corrupción de celdas en casos especiales, mientras que ECC complica ataques pero no los elimina. Aumentar la frecuencia de regeneración también ayuda. AMD indica que sus procesadores siguen especificaciones DDR y sugiere medidas como ECC, aumento de frecuencia de regeneración y uso de procesadores con modos específicos para DDR4 y DDR5.

A diferencia de los ataques RowHammer anteriores, que se centraban en sistemas Intel, ZenHammer se ha demostrado en sistemas AMD Zen 2 y Zen 3 con memoria DDR4 de fabricantes como Samsung, Micron y SK Hynix.

Cabe mencionar que los investigadores también exploraron la posibilidad de un ataque en los sistemas AMD Zen 4 con memoria DDR5. Aunque el método de ataque para DDR4 se reprodujo con éxito en solo 1 de cada 10 chips DDR5 probados, no se excluye la posibilidad de un ataque en estos sistemas, aunque requeriría el desarrollo de patrones de lectura más eficientes y adaptados para dispositivos DDR5.

Los investigadores lograron adaptar exploits previamente desarrollados para cambiar el contenido de las entradas en la tabla de páginas de memoria (PTE) en chips AMD. Estos exploits permitieron obtener privilegios del kernel, eludir comprobaciones de contraseña/autoridad en sudo y dañar la clave pública RSA-2048 almacenada en la memoria en OpenSSH para recrear la clave privada. En las pruebas, el ataque a la página de memoria se reprodujo en 7 de cada 10 chips DDR4 probados, el ataque a la clave RSA en 6 chips y el ataque sudo en 4 chips, con tiempos de ataque de 164, 267 y 209 segundos, respectivamente.

ZenHammer, también se puede utilizar para atacar sistemas a través de navegadores web, realizar cambios desde máquinas virtuales o lanzar ataques a través de una red. Además, hay dos conjuntos de utilidades para pruebas de corrupción de bits en la memoria: ddr4_zen2_zen3_pub para chips DDR4 (Zen 2 y Zen 3) y ddr5_zen4_pub para chips DDR5 (Zen 4), que pueden ser utilizados para evaluar la susceptibilidad de los sistemas a estos ataques.

Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.