Abo
  • Services:

Rowhammer: RAM-Chips geben Angreifern Root-Rechte

Durch permanente Speicherzugriffe lassen sich bei manchen Arbeitsspeichermodulen Bits umkippen. Dadurch sind verschiedene Angriffe möglich. Der Fehler liegt in der Hardware, ohne einen Austausch der Speichermodule ist der Angriff kaum zu verhindern.

Artikel veröffentlicht am , Hanno Böck
Eine Sicherheitslücke in RAM-Modulen lässt sich praktisch ausnutzen, um Root-Rechte zu erlangen.
Eine Sicherheitslücke in RAM-Modulen lässt sich praktisch ausnutzen, um Root-Rechte zu erlangen. (Bild: smial / Wikimedia Commons / Free Art License)

Den IT-Sicherheitsforschern Mark Seaborn, Matthew Dempsky und Thomas Dullien ist es gelungen, durch permanente Speicherzugriffe ausgelöste Bitflips auszunutzen, um aus einer Sandbox auszubrechen und auf einem Linux-System Root zu werden. Das Problem betrifft zahlreiche aktuelle PCs, bei einem Test mit aktuellen Laptops war etwa die Hälfte betroffen. Verhindern lässt sich der Angriff nur durch neue Hardware. Seaborn hat die Angriffsmethoden im Blog von Googles Project Zero erläutert.

Speicherzugriffe verändern den Speicher nebenan

Inhalt:
  1. Rowhammer: RAM-Chips geben Angreifern Root-Rechte
  2. Root-Rechte mittels Page Tables

Die Grundidee des sogenannten Rowhammer-Angriffs ist simpel. Greift man permanent auf eine bestimmte Stelle im Speicher zu, so führt das unter Umständen dazu, dass im Speicher, der sich physikalisch daneben befindet, ein Bit verändert wird. Schuld daran ist die kompakte Bauform moderner Speicherchips: Die Bits liegen immer näher beieinander und beeinflussen sich dadurch gegenseitig.

Bekannt ist das Problem schon länger, allerdings ist dies der erste praktische Angriff. Im vergangenen Jahr hatte ein Forscherteam von der Carnegie Mellon University und von Intel die Problematik anhand verschiedener DRAM-Chips mit Hilfe von speziell dafür programmierten FPGAs getestet.

Um vom theoretischen Szenario zu einem praktischen Angriff auf handelsüblichen PCs zu kommen, musste Seaborn einige Probleme lösen. Unter Linux kann ein Benutzerprozess über das Proc-Dateisystem Informationen dazu auslesen, welche Teile des virtuellen Speichers an welcher Stelle im physikalischen Speicher abgelegt werden. Das hilft zwar teilweise, ohne genaue Kenntnis der Hardware lässt sich allerdings nur erraten, welche physikalischen Speicherstellen sich direkt in nebeneinander liegenden Reihen befinden. Es lassen sich allerdings mehrere mögliche Abstände von Speicherreihen parallel testen. Deutlich effektiver lässt sich ein Angriff durchführen, wenn man parallel eine Speicherstelle auf beiden Seiten angreift.

Ausbruch aus der Chrome-Sandbox

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Lidl Digital, Leingarten

Ein erfolgreicher Rowhammer-Angriff führt zu einem umgekippten Bit. Um das für einen Angriff auszunutzen, sind verschiedene Tricks möglich. Seaborn beschreibt einen ersten Angriff anhand der NaCl-Sandbox, die unter anderem von Chrome genutzt wird. Die Idee bei NaCl: Der Maschinencode wird vor dem Ausführen auf Instruktionen getestet, die gefährlich sein könnten und einen Ausbruch aus der Sandbox erlauben.

Durch einen Rowhammer-Angriff lassen sich diese gefilterten Instruktionen durch gefährliche Instruktionen ersetzen. Ein einfaches Beispiel wäre ein Sprungbefehl, der durch einen Bitflip in einen Sprung zu einer Adresse in einem normalen CPU-Register umgewandelt wird. Der Sandbox-Code kann diese Veränderung prüfen und dann durch einen erlaubten Sprung auf diesen Code einen Sprung an eine beliebige Adresse im Arbeitsspeicher erreichen.

Um zu verhindern, dass die Speicherzugriffe gecachet werden, ruft der Rowhammer-Angriffscode permanent den Befehl Clflush auf. In neueren Versionen der NaCl-Sandbox wurde daher Clflush in die Liste der nicht erlaubten Befehle aufgenommen. Dadurch ist der Angriff zumindest in dieser Form nicht mehr möglich. Die in früheren Versionen fehlende Clflush-Filterung in NaCl wird als Sicherheitslücke CVE-2015-0565 geführt. Es ist allerdings nicht klar, ob das Problem damit vollständig behoben wird. Seaborn diskutiert mehrere Möglichkeiten, wie man einen ähnlichen Angriff auch ohne Clflush ausführen könnte, allerdings hat er keine davon praktisch umgesetzt.

Root-Rechte mittels Page Tables 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (u. a. Assassin's Creed Origins PC für 29€)
  2. 50,99€ mit Vorbesteller-Preisgarantie
  3. 59,99€ mit Vorbesteller-Preisgarantie

TheBigLou13 13. Apr 2015

Was, wenn man jedem Programm im Ram einen Puffer nach links und rechts von einem Byte...

HubertHans 13. Mär 2015

Nebenbei bemerkt: Es gibt kaum Speicherrriegel die Timings erlauben die niedriger...

HubertHans 12. Mär 2015

Wenn du ECC RAM mit DDR3 1600 CL9 kaufst bist du schon vorne mit dabei. Die meisten DDR3...

EvilSheep 11. Mär 2015

Lies den Artikel und dir wird ein Licht auf gehen. Ja es wird getestet, ja es war schon...

EvilSheep 11. Mär 2015

Mir ist sehr wohl bewusst, dass das Grundproblem beim DRAM liegt, aber steht eben der...


Folgen Sie uns
       


Square Enix E3 2018 Pressekonferenz - Live

Lara Croft steht kurz vor ihrer Metamorphose, Dragon Quest 11 und Final Fantasy 14 erblühen in Europa und zwei ganz neue Spieleserien hat Square Enix auch noch vorgestellt. Wie fanden wir das?

Square Enix E3 2018 Pressekonferenz - Live Video aufrufen
Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

    •  /