Ученые из Свободного университета Амстердама (VU) и Федерального технологического института (ETH Zurich) описали новую разновидность атаки Rowhammer на карты памяти DDR4 RAM, получившую название SMASH (Synchronized MAny-Sided Hammering). Разработанный на её основе эксплойт JavaScript способен полностью взломать браузер Firefox в среднем за 15 минут.
Семь лет назад было впервые установлено, что чередующиеся быстро операции чтения/записи в одном ряду оперативной памяти (row hammering) могут наводить электрические помехи на соседние ряды, вызывая там самопроизвольные переключения битов. С тех пор было разработано множество методов и сценариев применения оригинального Rowhammer.
Была также предложена универсальная защита, Target Row Refresh (TRR). Считалось, что она подходит для любых атак Rowhammer – до тех пор, пока команда VU в марте прошлого года не продемонстрировала фаззинговое средство обхода TRR, TRRespass.
SMASH развивает этот «успех», обогатив арсенал взломщиков техникой атаки на защищённые карты DDR4 с помощью сценариев JavaScript.
Цепочка эксплойта запускается, когда жертва посещает вредоносный веб-сайт или законный веб-сайт, содержащий вредоносную рекламу. Переключения битов инициируется из песочницы JavaScript с целью перехвата управления браузером жертвы.
В качестве одной из контрмер авторы эксплойта рекомендуют отключить “огромные прозрачные страницы” (THP): это несколько снизит производительность, но также позволит блокировать нынешнюю версию SMASH.
«Помимо того, наш эксплойт, в частности, повреждает указатели в браузере, чтобы нарушить ASLR и перейти к поддельному объекту. Защита целостности указателей в ПО или оборудовании (например, с помощью PAC) остановит текущий эксплойт SMASH», – пишут они.