• IT-Karriere:
  • Services:

Rowhammer: RAM-Chips geben Angreifern Root-Rechte

Durch permanente Speicherzugriffe lassen sich bei manchen Arbeitsspeichermodulen Bits umkippen. Dadurch sind verschiedene Angriffe möglich. Der Fehler liegt in der Hardware, ohne einen Austausch der Speichermodule ist der Angriff kaum zu verhindern.

Artikel veröffentlicht am , Hanno Böck
Eine Sicherheitslücke in RAM-Modulen lässt sich praktisch ausnutzen, um Root-Rechte zu erlangen.
Eine Sicherheitslücke in RAM-Modulen lässt sich praktisch ausnutzen, um Root-Rechte zu erlangen. (Bild: smial / Wikimedia Commons / Free Art License)

Den IT-Sicherheitsforschern Mark Seaborn, Matthew Dempsky und Thomas Dullien ist es gelungen, durch permanente Speicherzugriffe ausgelöste Bitflips auszunutzen, um aus einer Sandbox auszubrechen und auf einem Linux-System Root zu werden. Das Problem betrifft zahlreiche aktuelle PCs, bei einem Test mit aktuellen Laptops war etwa die Hälfte betroffen. Verhindern lässt sich der Angriff nur durch neue Hardware. Seaborn hat die Angriffsmethoden im Blog von Googles Project Zero erläutert.

Speicherzugriffe verändern den Speicher nebenan

Inhalt:
  1. Rowhammer: RAM-Chips geben Angreifern Root-Rechte
  2. Root-Rechte mittels Page Tables

Die Grundidee des sogenannten Rowhammer-Angriffs ist simpel. Greift man permanent auf eine bestimmte Stelle im Speicher zu, so führt das unter Umständen dazu, dass im Speicher, der sich physikalisch daneben befindet, ein Bit verändert wird. Schuld daran ist die kompakte Bauform moderner Speicherchips: Die Bits liegen immer näher beieinander und beeinflussen sich dadurch gegenseitig.

Bekannt ist das Problem schon länger, allerdings ist dies der erste praktische Angriff. Im vergangenen Jahr hatte ein Forscherteam von der Carnegie Mellon University und von Intel die Problematik anhand verschiedener DRAM-Chips mit Hilfe von speziell dafür programmierten FPGAs getestet.

Um vom theoretischen Szenario zu einem praktischen Angriff auf handelsüblichen PCs zu kommen, musste Seaborn einige Probleme lösen. Unter Linux kann ein Benutzerprozess über das Proc-Dateisystem Informationen dazu auslesen, welche Teile des virtuellen Speichers an welcher Stelle im physikalischen Speicher abgelegt werden. Das hilft zwar teilweise, ohne genaue Kenntnis der Hardware lässt sich allerdings nur erraten, welche physikalischen Speicherstellen sich direkt in nebeneinander liegenden Reihen befinden. Es lassen sich allerdings mehrere mögliche Abstände von Speicherreihen parallel testen. Deutlich effektiver lässt sich ein Angriff durchführen, wenn man parallel eine Speicherstelle auf beiden Seiten angreift.

Ausbruch aus der Chrome-Sandbox

Stellenmarkt
  1. Vorwerk Services GmbH, Wuppertal
  2. Grünbeck Wasseraufbereitung GmbH, Hochstädt

Ein erfolgreicher Rowhammer-Angriff führt zu einem umgekippten Bit. Um das für einen Angriff auszunutzen, sind verschiedene Tricks möglich. Seaborn beschreibt einen ersten Angriff anhand der NaCl-Sandbox, die unter anderem von Chrome genutzt wird. Die Idee bei NaCl: Der Maschinencode wird vor dem Ausführen auf Instruktionen getestet, die gefährlich sein könnten und einen Ausbruch aus der Sandbox erlauben.

Durch einen Rowhammer-Angriff lassen sich diese gefilterten Instruktionen durch gefährliche Instruktionen ersetzen. Ein einfaches Beispiel wäre ein Sprungbefehl, der durch einen Bitflip in einen Sprung zu einer Adresse in einem normalen CPU-Register umgewandelt wird. Der Sandbox-Code kann diese Veränderung prüfen und dann durch einen erlaubten Sprung auf diesen Code einen Sprung an eine beliebige Adresse im Arbeitsspeicher erreichen.

Um zu verhindern, dass die Speicherzugriffe gecachet werden, ruft der Rowhammer-Angriffscode permanent den Befehl Clflush auf. In neueren Versionen der NaCl-Sandbox wurde daher Clflush in die Liste der nicht erlaubten Befehle aufgenommen. Dadurch ist der Angriff zumindest in dieser Form nicht mehr möglich. Die in früheren Versionen fehlende Clflush-Filterung in NaCl wird als Sicherheitslücke CVE-2015-0565 geführt. Es ist allerdings nicht klar, ob das Problem damit vollständig behoben wird. Seaborn diskutiert mehrere Möglichkeiten, wie man einen ähnlichen Angriff auch ohne Clflush ausführen könnte, allerdings hat er keine davon praktisch umgesetzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Root-Rechte mittels Page Tables 
  1. 1
  2. 2
  3.  


Anzeige
Mobile-Angebote
  1. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,96€)
  2. 749€
  3. (u. a. Find X2 Neo 256GB 6,5 Zoll für 439,99€, Watch 41 mm Smartwatch für 179,99€)

TheBigLou13 13. Apr 2015

Was, wenn man jedem Programm im Ram einen Puffer nach links und rechts von einem Byte...

HubertHans 13. Mär 2015

Nebenbei bemerkt: Es gibt kaum Speicherrriegel die Timings erlauben die niedriger...

HubertHans 12. Mär 2015

Wenn du ECC RAM mit DDR3 1600 CL9 kaufst bist du schon vorne mit dabei. Die meisten DDR3...

EvilSheep 11. Mär 2015

Lies den Artikel und dir wird ein Licht auf gehen. Ja es wird getestet, ja es war schon...

EvilSheep 11. Mär 2015

Mir ist sehr wohl bewusst, dass das Grundproblem beim DRAM liegt, aber steht eben der...


Folgen Sie uns
       


Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
Covid-19: So funktioniert die Corona-Vorhersage am FZ Jülich
Covid-19
So funktioniert die Corona-Vorhersage am FZ Jülich

Das Forschungszentrum Jülich hat ein Vorhersagetool für Corona-Neuinfektionen programmiert. Projektleiter Gordon Pipa hat uns erklärt, wie es funktioniert.
Ein Bericht von Boris Mayer

  1. Top 500 Deutscher Supercomputer unter den ersten zehn
  2. Hochleistungsrechner Berlin und sieben weitere Städte bekommen Millionenförderung
  3. Cineca Leonardo Nvidias A100 befeuert 10-Exaflops-AI-Supercomputer

Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
Zenbook Flip UX371E im Test
Asus steht sich selbst im Weg

Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
Ein Test von Oliver Nickel

  1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
  2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
  3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera

Demon's Souls im Test: Düsternis auf Basis von 10,5 Tflops
Demon's Souls im Test
Düsternis auf Basis von 10,5 Tflops

Das Remake von Demon's Souls ist das einzige PS5-Spiel von Sony, das nicht für die PS4 erscheint - und ein toller Einstieg in die Serie!
Von Peter Steinlechner


      •  /