Abo
  • Services:

Rowhammer: RAM-Chips geben Angreifern Root-Rechte

Durch permanente Speicherzugriffe lassen sich bei manchen Arbeitsspeichermodulen Bits umkippen. Dadurch sind verschiedene Angriffe möglich. Der Fehler liegt in der Hardware, ohne einen Austausch der Speichermodule ist der Angriff kaum zu verhindern.

Artikel veröffentlicht am , Hanno Böck
Eine Sicherheitslücke in RAM-Modulen lässt sich praktisch ausnutzen, um Root-Rechte zu erlangen.
Eine Sicherheitslücke in RAM-Modulen lässt sich praktisch ausnutzen, um Root-Rechte zu erlangen. (Bild: smial / Wikimedia Commons / Free Art License)

Den IT-Sicherheitsforschern Mark Seaborn, Matthew Dempsky und Thomas Dullien ist es gelungen, durch permanente Speicherzugriffe ausgelöste Bitflips auszunutzen, um aus einer Sandbox auszubrechen und auf einem Linux-System Root zu werden. Das Problem betrifft zahlreiche aktuelle PCs, bei einem Test mit aktuellen Laptops war etwa die Hälfte betroffen. Verhindern lässt sich der Angriff nur durch neue Hardware. Seaborn hat die Angriffsmethoden im Blog von Googles Project Zero erläutert.

Speicherzugriffe verändern den Speicher nebenan

Inhalt:
  1. Rowhammer: RAM-Chips geben Angreifern Root-Rechte
  2. Root-Rechte mittels Page Tables

Die Grundidee des sogenannten Rowhammer-Angriffs ist simpel. Greift man permanent auf eine bestimmte Stelle im Speicher zu, so führt das unter Umständen dazu, dass im Speicher, der sich physikalisch daneben befindet, ein Bit verändert wird. Schuld daran ist die kompakte Bauform moderner Speicherchips: Die Bits liegen immer näher beieinander und beeinflussen sich dadurch gegenseitig.

Bekannt ist das Problem schon länger, allerdings ist dies der erste praktische Angriff. Im vergangenen Jahr hatte ein Forscherteam von der Carnegie Mellon University und von Intel die Problematik anhand verschiedener DRAM-Chips mit Hilfe von speziell dafür programmierten FPGAs getestet.

Um vom theoretischen Szenario zu einem praktischen Angriff auf handelsüblichen PCs zu kommen, musste Seaborn einige Probleme lösen. Unter Linux kann ein Benutzerprozess über das Proc-Dateisystem Informationen dazu auslesen, welche Teile des virtuellen Speichers an welcher Stelle im physikalischen Speicher abgelegt werden. Das hilft zwar teilweise, ohne genaue Kenntnis der Hardware lässt sich allerdings nur erraten, welche physikalischen Speicherstellen sich direkt in nebeneinander liegenden Reihen befinden. Es lassen sich allerdings mehrere mögliche Abstände von Speicherreihen parallel testen. Deutlich effektiver lässt sich ein Angriff durchführen, wenn man parallel eine Speicherstelle auf beiden Seiten angreift.

Ausbruch aus der Chrome-Sandbox

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

Ein erfolgreicher Rowhammer-Angriff führt zu einem umgekippten Bit. Um das für einen Angriff auszunutzen, sind verschiedene Tricks möglich. Seaborn beschreibt einen ersten Angriff anhand der NaCl-Sandbox, die unter anderem von Chrome genutzt wird. Die Idee bei NaCl: Der Maschinencode wird vor dem Ausführen auf Instruktionen getestet, die gefährlich sein könnten und einen Ausbruch aus der Sandbox erlauben.

Durch einen Rowhammer-Angriff lassen sich diese gefilterten Instruktionen durch gefährliche Instruktionen ersetzen. Ein einfaches Beispiel wäre ein Sprungbefehl, der durch einen Bitflip in einen Sprung zu einer Adresse in einem normalen CPU-Register umgewandelt wird. Der Sandbox-Code kann diese Veränderung prüfen und dann durch einen erlaubten Sprung auf diesen Code einen Sprung an eine beliebige Adresse im Arbeitsspeicher erreichen.

Um zu verhindern, dass die Speicherzugriffe gecachet werden, ruft der Rowhammer-Angriffscode permanent den Befehl Clflush auf. In neueren Versionen der NaCl-Sandbox wurde daher Clflush in die Liste der nicht erlaubten Befehle aufgenommen. Dadurch ist der Angriff zumindest in dieser Form nicht mehr möglich. Die in früheren Versionen fehlende Clflush-Filterung in NaCl wird als Sicherheitslücke CVE-2015-0565 geführt. Es ist allerdings nicht klar, ob das Problem damit vollständig behoben wird. Seaborn diskutiert mehrere Möglichkeiten, wie man einen ähnlichen Angriff auch ohne Clflush ausführen könnte, allerdings hat er keine davon praktisch umgesetzt.

Root-Rechte mittels Page Tables 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 1.299,00€
  2. täglich neue Deals bei Alternate.de

TheBigLou13 13. Apr 2015

Was, wenn man jedem Programm im Ram einen Puffer nach links und rechts von einem Byte...

HubertHans 13. Mär 2015

Nebenbei bemerkt: Es gibt kaum Speicherrriegel die Timings erlauben die niedriger...

HubertHans 12. Mär 2015

Wenn du ECC RAM mit DDR3 1600 CL9 kaufst bist du schon vorne mit dabei. Die meisten DDR3...

EvilSheep 11. Mär 2015

Lies den Artikel und dir wird ein Licht auf gehen. Ja es wird getestet, ja es war schon...

EvilSheep 11. Mär 2015

Mir ist sehr wohl bewusst, dass das Grundproblem beim DRAM liegt, aber steht eben der...


Folgen Sie uns
       


Amazons Echo Sub im Test

Mit dem Echo Sub lassen sich Echo-Lautsprecher mit Tiefbass nachrüsten. Die Echo-Lautsprecher sind allerdings im Mittenbereich vergleichsweise schwach, so dass das Klangbild entsprechend leidet. Sobald zwei Echo-Lautsprecher miteinander verbunden sind, gibt es enorm viele Probleme: Die Echo-Geräte reagieren langsamer, es gibt Zeitverzögerungen der einzelnen Lautsprecher und das Spulen in Musik ist nicht mehr möglich. Wie dokumentieren die Probleme im Video.

Amazons Echo Sub im Test Video aufrufen
Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

Landwirtschafts-Simulator auf dem C64: Auf zum Pixelernten!
Landwirtschafts-Simulator auf dem C64
Auf zum Pixelernten!

In der Collector's Edition des Landwirtschafts-Simulators 19 ist das Spiel gleich zwei Mal enthalten - einmal für den PC und einmal für den C64. Wir haben die Version für Commodores Heimcomputer auf unserem Redaktions-C64 gespielt, stilecht von der Cartridge geladen.
Ein Test von Tobias Költzsch

  1. Giants Software Ländliche Mods auf Playstation und Xbox

    •  /