報導摘要
一項由 ETH 蘇黎世大學和 Google 共同進行的學術研究揭露了一種名為「鳳凰」(Phoenix)的 Rowhammer 攻擊新變種。這種攻擊方式極其精巧,能夠成功繞過專為 DDR5 記憶體晶片設計的最新防禦機制,特別是目標列重新整理(Target Row Refresh, TRR)。研究人員在對 SK Hynix 生產的 DDR5 記憶體進行測試時發現,此攻擊能導致位元翻轉,進而破壞資料、提升系統權限,甚至在不到兩分鐘內取得 root 權限的惡意程式碼。這項發現對現代記憶體安全構成重大挑戰,顯示即便最先進的硬體防禦也可能存在可被利用的漏洞。該攻擊被追蹤為高嚴重性漏洞 CVE-2025-6202,影響範圍涵蓋 2021 年至 2024 年間生產的 DDR5 DIMM RAM 模組。
什麼是 Rowhammer 攻擊?
學術研究人員設計了一種新的 Rowhammer 攻擊變種,可以繞過 SK Hynix DDR5 記憶體晶片上的最新保護機制。攻擊者可能會破壞資料、增加其係統權限、執行惡意程式碼或存取敏感資料。
Rowhammer 攻擊是一種利用動態隨機存取記憶體(DRAM)物理特性的旁路攻擊(Side-channel attack)。其基本原理是透過以高速讀取/寫入操作反覆存取特定行的記憶體單元來產生足夠的電干擾,從而將附近位元的值從 1 更改為 0,反之亦然(位元翻轉)(註)。這種現象源於 DRAM 記憶體單元的高密度排列。當一個記憶體列被快速且重複地「錘擊」(hammered)時,其鄰近的記憶體列會因為電容耦合而受到影響,進而導致其中的位元值發生意外的改變。過去,研究人員已經證明 Rowhammer 攻擊能夠從使用者層級的程式碼執行,成功實現權限提升並繞過沙盒安全機制。
註:
位元翻轉攻擊(Bit Flipping Attack)是一種利用硬體或密碼學弱點來改變儲存資料中某些位元(bit)的值的攻擊方式。這類攻擊可以分為兩大類型,分別針對硬體記憶體與加密系統:
硬體層級:Rowhammer 攻擊原理
a) DRAM 中的記憶體單元彼此靠得很近。
b) 攻擊者透過高速且重複地存取某一記憶體行(row),會導致鄰近行的電荷干擾。
c) 最終可能導致某些位元從 0 → 1 或 1 → 0,即發生「位元翻轉」。
d) 這種翻轉可以用來繞過記憶體保護機制、注入惡意程式碼或提升權限。
密碼學層級:CBC 模式的位元翻轉攻擊原理
a) Cipher Block Chaining (CBC) 模式中,每個密文區塊會與前一區塊異或(XOR)後再解密。
b) 攻擊者可以修改密文中的某些位元,從而影響解密後的明文。
c) 例如:改變登入資訊、繞過驗證、注入惡意指令。
DDR5 記憶體與其內建防禦機制
DDR5 記憶體自推出以來,被視為能有效抵禦 Rowhammer 攻擊的下一代記憶體技術。主要的防禦機制是目標列重新整理(Target Row Refresh, TRR)。TRR 的工作原理是在偵測到特定記憶體列被反覆存取時,自動重新整理其鄰近的記憶體列,以避免位元翻轉的發生。記憶體控制器會監控存取模式,一旦發現有潛在的 Rowhammer 攻擊行為,便會主動介入並執行防禦措施。這項技術被普遍認為是解決 Rowhammer 問題的有效方法,為 DDR5 記憶體提供了更強大的安全性。然而,「鳳凰」攻擊的出現證明,即使是看似堅不可摧的 TRR 防禦,仍有其弱點。
「鳳凰」攻擊的原理與威脅
「鳳凰」攻擊的關鍵創新點在於其能夠繞過 TRR 機制。研究人員發現,TRR 的偵測機制並非完美無缺,它並非在所有情況下都會對記憶體列的存取進行採樣。攻擊者正是利用了這些未被採樣的「盲點」來進行惡意操作。該團隊開發了一種獨特的同步化方法,能夠追蹤並與數千個記憶體重新整理操作同步,精準地在 TRR 偵測之外的時間點執行錘擊。
研究人員在所有 15 個受測的 SK Hynix DDR5 記憶體晶片上都成功實現了位元翻轉。他們進一步展示了此攻擊的實際危害性:
提升權限: 研究人員成功地將攻擊應用於取得 root 權限的 shell。他們發現,只需不到兩分鐘,就可以利用位元翻轉來篡改記憶體中的資料結構,進而獲得系統的最高權限。
破壞系統: 在另一項實驗中,研究團隊展示了如何透過攻擊頁表條目(page-table entries)來接管目標系統,甚至能夠破壞 SSH 驗證,使遠端登入變得不安全。
篡改程式碼: 攻擊者甚至能夠篡改系統核心檔案。研究人員成功地更改了 sudo 二進位檔案,藉由位元翻轉來提升本地權限,這意味著攻擊者可以在不被發現的情況下永久性地破壞系統安全。
這些實驗證明,「鳳凰」攻擊不僅僅是學術上的概念驗證,而是一種實際且極具威脅的攻擊手段。攻擊者可以利用其在系統中植入後門、竊取敏感資料或完全控制受害者的電腦。
影響範圍與應對措施
此項研究揭示的漏洞被標記為 CVE-2025-6202,其嚴重性被評為高。受影響的範圍包括 SK Hynix 在 2021 年 1 月至 2024 年 12 月期間生產的所有 DDR5 DIMM RAM 模組。儘管這項研究主要針對 SK Hynix 的產品,但研究人員也警告,由於 TRR 技術是業界的標準,其他記憶體供應商的 DDR5 產品也可能存在類似的漏洞。
對於使用者而言,目前沒有直接的軟體修補程式可以完全防禦此類硬體漏洞。儘管如此,研究人員提供了一個臨時性的緩解方案:將 DRAM 的重新整理間隔時間增加三倍。這樣做可以減少位元翻轉發生的機率,但同時也可能導致系統不穩定或效能下降。這凸顯了這個問題的複雜性,最終的解決方案可能需要記憶體製造商從硬體設計層面進行調整。
結論
「鳳凰」攻擊的出現再次提醒我們,即使是看似安全的現代硬體,其底層仍可能存在物理漏洞。它證明了單一的防禦機制,如 TRR,並非萬無一失。這項研究不僅是對記憶體製造商的警示,也對整個資訊安全產業發出了警訊。未來,企業和開發者必須採取更為綜合的多層次安全策略,將硬體、軟體與作業系統層面的防禦結合起來,以應對日益精密的網路攻擊。同時,使用者也應持續關注相關安全公告,並在有官方修補方案時盡快更新,以保護自身的資料與系統安全。
資料來源:https://www.bleepingcomputer.com/news/security/new-phoenix-attack-bypasses-rowhammer-defenses-in-ddr5-memory/