En inversant les mécanismes de rafraîchissement de la ligne cible (TRR) qui ont jusqu’à présent protégé la RAM DDR5 contre les flips de bits, les chercheurs en sécurité ont pu vaincre tous les DIMM dans leurs tests.
Les chercheurs ont conçu une nouvelle technique pour déclencher des flips de bit de Rowhammer à l’intérieur des cellules de mémoire des modules RAM DDR5, qui seraient protégés contre de telles attaques. Ce type d’attaque permet une modification de la mémoire contrôlée conduisant à des exploits d’escalade de privilège ou à la fuite de données sensibles stockées dans des régions de mémoire restreintes.
Pour réaliser leur nouvelle attaque, surnommé Phoenix, des chercheurs de Eth Zurich et Google Inverse-ingénient les mécanismes avancés de rafraîchissement de la ligne cible (TRR) dans DDR5 DIMMS de SK Hynix, l’un des plus grands fournisseurs de puces DRAM. L’exploit est désormais suivi sous le nom de CVE-2025-6202.
« Notre évaluation montre que Phoenix déclenche des flips bits sur 15 appareils DDR5 sur 15 dans notre pool de tests », ont écrit les chercheurs dans leur article. «L’utilisation de ces flips de bits, nous construisons le premier exploit d’escalade de privilège de marteau de rang qui obtient root sur un système DDR5 de marchandise avec des paramètres par défaut en aussi peu que 109 secondes. Ces résultats fournissent une preuve supplémentaire que l’atténuation de la tête de rangs de principe, telle que les compteurs d’activation par rangée, est obligatoire pour un fonctionnement sécurisé de périphériques futurs.»
Vaincre les protections de Rowhammer existantes
Rowhammer est une méthode de provoquant intentionnellement des erreurs de perturbation, ou des flips de bits, à l’intérieur des cellules de mémoire bien emballées dans des puces DRAM modernes. Depuis 2014, les chercheurs ont observé que des opérations de lecture rapides et répétées sur la même rangée physique de cellules de mémoire peuvent provoquer la fuite des charges électriques dans les rangées adjacentes modifiant les valeurs stockées dans les cellules de 0 à 1 ou l’inverse. En 2015, des chercheurs de Google ont montré que s’ils étaient effectués de manière contrôlée, cela peut avoir des implications de sécurité, telles que l’escalade des privilèges dans les systèmes d’exploitation entre l’espace utilisateur et le noyau ou les contournements de bacs de sable de processus.
Rowhammer et ses diverses variations découvertes depuis ont principalement affecté les modules de mémoire DDR3 et DDR4, avec DDR5, une technologie plus récente, en utilisant des mécanismes plus sophistiqués pour détecter et corriger les erreurs de perturbation. Ces mécanismes d’atténuation sont connus sous le nom de rafraîchissement des lignes cibles (TRR) et impliquent de détecter les lignes d’agresseur dits qui sont martelées, puis rafraîchissaient les rangées de victimes adjacentes pour corriger les flips de bit qui auraient pu se produire. Les TRR sont également présents dans DDR4, mais dans une mise en œuvre moins sophistiquée et plus facile à vaincre.
Les TRR sont propriétaires et non documentés publiquement, c’est pourquoi les attaques auparavant de Rowhammer contre DDR5 ont eu un succès très limité. Mais une attaque de Rowhammer surnommée Zenhammer divulguée en 2024 a réussi à déclencher des flips de bits dans l’un des 10 DIMM DDR5 testés. En comparaison, la nouvelle attaque de Phoenix a réussi à déclencher des flips de bits dans tous les DIMM testés.
« Nos efforts d’ingénierie inverse montrent que des modèles de marteau-rang beaucoup plus longs sont aujourd’hui nécessaires pour contourner ces nouvelles protections », ont déclaré les chercheurs. « Pour déclencher des flips de bit dehammer Rowhammer, ces modèles doivent rester en synchronisation avec des milliers de commandes de rafraîchissement, ce qui est difficile. Notre nouvelle attaque Rowhammer, appelée Phoenix, resynchronise ces longs motifs si nécessaire pour déclencher les premiers flips DDR5 dans des appareils avec des protections TRR avancées. »
Même si les chercheurs ont ciblé uniquement les modules de mémoire SK Hynix, l’attaque pourrait également avoir des implications pour d’autres fabricants de mémoire, car les mêmes techniques d’inverse de recherche documentées dans l’article pourraient être appliquées pour découvrir leurs propres TRR propriétaires et trouver des modèles de marteau de rang qui les battent.
Pour tester l’aspect pratique de leur exploit, les chercheurs ont conçu trois attaques: une qui a modifié les entrées de table de page (PTE), une qui a divulgué les clés RSA-2048 utilisées pour l’authentification SSH à partir d’une machine virtuelle colocalisée sur le même système; et une attaque qui a augmenté les privilèges de rooter sur un système Linux à travers le binaire sudo.
Les PTE sont utilisés par l’unité de gestion de la mémoire du CPU pour cartographier les adresses de mémoire virtuelles utilisées par les applications dans des emplacements de la mémoire physique où les données sont stockées. En forgeant les PTE, un attaquant peut effectuer des opérations de lecture / écriture arbitraires dans les régions de mémoire auxquelles il ne devrait pas avoir accès.
Les 15 modules étaient vulnérables à l’attaque en PTE avec un temps d’attaque moyen pour déclencher un flip bits exploitable de 2m 36. Pour fuir la clé RSA-2048, l’attaque avait besoin de 6m 20s en moyenne et a réussi 11 des 15 modules. L’attaque binaire sudo a réussi à cinq modules et a nécessité un temps moyen de 36m 55s.
Cependant, les chercheurs notent que les attaques binaires RSA-2048 et Sudo auraient probablement réussi plus d’appareils si le martèlement est augmenté à plus de la limite de 256 Mo qu’ils ont utilisée dans leurs tests.
Une preuve d’exploitation de concept ainsi que des expériences liées à cette recherche ont été publiées sur GitHub.
Atténuations
Une limitation de l’attaque est qu’elle ne fonctionne que sur les processeurs AMD, car les processeurs Intel incluent également des atténuations de PTRR supplémentaires qui devraient être contournées, et aucune technique n’a été développée jusqu’à présent pour contourner les atténuations PTRR INCPU.
Une atténuation potentielle dans les modules existants consiste à tripler le taux de rafraîchissement, ont constaté les chercheurs, mais cela dégraderait les performances en introduisant une surcharge de 8,4%. De plus, bien que cela atténuerait les modèles existants de support en ligne de Phoenix, il n’y a aucune garantie que d’autres ne pouvaient pas contourner le taux de rafraîchissement plus rapide.
AMD aurait également publié une mise à jour du BIOS pour ses processeurs qui modifie le mode de rafraîchissement du contrôleur de mémoire en rafraîchissement par granularité (FGR), augmentant le taux de rafraîchissement et réduisant le temps consacré à chaque commande de rafraîchissement. L’équipe de recherche n’a pas pu tester si cela arrête Phoenix, mais ils ne croient pas que ce changement fournira une forte protection.
« Nous recommandons fortement de déploier une autre atténuation obscure sans une analyse de sécurité rigoureuse dans les appareils futurs », ont conclu les chercheurs. «Au lieu de cela, les fournisseurs de DRAM doivent déployer des atténuations TRR avec des garanties de principe. La nouvelle spécification de comptage d’activation par ligne offre la possibilité de mettre en œuvre de telles atténuations de principe à l’intérieur de DRAM.»
