Атаковать ячейки памяти DDR4 теперь можно с веб-страницы

Ученые из Свободного университета Амстердама (VU) и Федерального технологического института (ETH Zurich) описали новую разновидность атаки Rowhammer на карты памяти DDR4 RAM, получившую название SMASH (Synchronized MAny-Sided Hammering). Разработанный на её основе эксплойт JavaScript способен полностью взломать браузер Firefox в среднем за 15 минут.

Семь лет назад было впервые установлено, что чередующиеся быстро операции чтения/записи в одном ряду оперативной памяти (row hammering) могут наводить электрические помехи на соседние ряды, вызывая там самопроизвольные переключения битов. С тех пор было разработано множество методов и сценариев применения оригинального Rowhammer.

Была также предложена универсальная защита, Target Row Refresh (TRR). Считалось, что она подходит для любых атак Rowhammer – до тех пор, пока команда VU в марте прошлого года не продемонстрировала  фаззинговое средство обхода TRR, TRRespass.

SMASH развивает этот «успех», обогатив арсенал взломщиков техникой атаки на защищённые карты DDR4 с помощью сценариев JavaScript.

Цепочка эксплойта запускается, когда жертва посещает вредоносный веб-сайт или законный веб-сайт, содержащий вредоносную рекламу. Переключения битов инициируется из песочницы JavaScript с целью перехвата управления браузером жертвы.

В качестве одной из контрмер авторы эксплойта рекомендуют отключить “огромные прозрачные страницы” (THP): это несколько снизит производительность, но также позволит блокировать нынешнюю версию SMASH.

«Помимо того, наш эксплойт, в частности, повреждает указатели в браузере, чтобы нарушить ASLR и перейти к поддельному объекту. Защита целостности указателей в ПО или оборудовании (например, с помощью PAC) остановит текущий эксплойт SMASH», – пишут они.