꿈을꾸는 파랑새

DDR4 및 DDR5 메모리 칩의 물리적 주소를 매핑 하는 최신 AMD Zen 마이크로아키텍처를 기반으로 CPU에서 작동하는 Rowhammer DRAM 공격의 첫 번째 변종인 ZenHammer를 개발
AMD Zen 칩과 DDR5 RAM 모듈은 이전에 Rowhammer에 덜 취약한 것으로 간주하였으므로 최신 연구 결과는 이러한 개념에 도전
ZenHammer 공격은 공립 연구 대학인 ETH Zurich의 연구원들이 개발했으며, 이들은 기술 논문을 공유
공격 배경
Rowhammer는 최신 DRAM(Dynamic Random-Access Memory)의 물리적 특성을 활용하여 읽기/쓰기 작업을 통해 메모리 셀의 특정 행에 반복적으로 액세스("해머링")하여 내부 비트 값을 변경함으로써 데이터를 변경하는 잘 문서로 만들어진 공격 방법
메모리 셀은 내부 비트 값을 1 또는 0으로 결정하는 전하로 정보를 저장합니다. 최신 칩 셀의 메모리 셀 밀도가 증가했기 때문에 반복적인 "해머링"은 인접한 행의 전하 상태를 변경할 수 있습니다. 비트 뒤집기로 알려졌습니다.
특정 위치에서 이러한 비트 플립을 전략적으로 유도함으로써 공격자는 민감한 자료(예: 암호화 키)에 액세스하거나 권한을 상승시킬 수 있음
해당 기술은 Intel 및 ARM CPU에서 시연되었지만, AMD의 Zen 아키텍처 CPU는 알 수 없는 DRAM 주소 지정 체계, 새로 고침 명령과의 동기화 및 충분히 높은 행 활성화 처리량 달성의 어려움과 같은 고유한 문제로 말미암아 대부분 탐색 되지 않았음
ZenHammer를 통해 ETH Zurich의 연구원들은 AMD 플랫폼의 복잡하고 비선형 DRAM 주소 지정 기능을 리버스 엔지니어링하여 이러한 문제를 해결
또한, 그들은 TRR(Target Row Refresh)과 같은 완화를 우회하는 데 중요한 DRAM의 새로 고침 명령을 사용하여 공격 시간을 정하는 새로운 동기화 기술을 개발했습니다.
또한, 연구원들은 Rowhammer 공격 성공의 중요한 요소인 행 활성화 속도를 높이려고 메모리 액세스 패턴을 최적화

새로운 ZenHammer 메모리 공격 논문

AMD Zen CPU
AMD Zen CPU

시험 결과

연구원들은 ZenHammer 공격이 AMD Zen 2(Ryzen 5 3600X) 및 Zen 3 플랫폼(Ryzen 5 5600G)의 DDR4 장치에서 비트 플립을 유도할 수 있음을 시연했습니다. DDR4/AMD Zen 2 플랫폼 테스트 10개 중 7개, DDR4/AMD Zen 3 플랫폼 테스트 10개 중 6개에서 성공
연구원들은 또한 이전에 Rowhammer 공격으로부터 더 잘 보호되는 것으로 간주하였던 AMD의 Zen 4 마이크로아키텍처 플랫폼에서 DDR5 칩을 사용하여 성공
그러나 테스트는 10개 시스템 중 하나인 Ryzen 7 7700X에서만 성공했습니다. 이는 "개선된 Rowhammer 완화, 온다이 오류 수정 코드(ECC) 및 더 높은 새로 고침 빈도(32ms)와 같은 DDR5의 변경 사항이 있음을 나타냅니다. ) 비트 플립을 트리거하기가 더 어려워집니다.
분석가들은 승인되지 않은 메모리 액세스를 위한 페이지 테이블 항목 조작을 포함하여 시스템 보안을 목표로 하는 성공적인 공격을 시뮬레이션할 수 있었기 때문에 이러한 비트 플립은 단순히 이론적인 것이 아님
2021년 4분기에 생산된 Zen 3 테스트 시스템 중 하나에서 연구원들은 악용 가능한 비트 플립이 발견된 순간부터 시작하여 평균 93초의 시간으로 10번의 성공적인 공격에서 루트 권한을 얻을 수 있었음
AMD CPU 사용자가 이 위협으로부터 방어해야 하는 옵션은 소프트웨어 패치 및 펌웨어 업데이트 적용으로 이어집니다. 또한, 일반적으로 최신 기술을 통합하는 Rowhammer에 대한 특정 완화 기능을 구현한 하드웨어 사용을 고려할 수도 있습니다.
이러한 공격은 복잡하며 성공적인 실행을 위해서는 공격자가 소프트웨어와 하드웨어 구성 요소 모두에 대해 깊이 이해해야 한다는 점을 강조할 가치가 있습니다. 
AMD는 ZenHammer에 대한 대응으로 보안 게시판을 완화 언을 제공하고 문제를 철저하게 평가하고 업데이트를 제공할 것임을 확인
해결 방법
AMD 마이크로프로세서 제품에는 업계 표준 DDR 사양을 충족하도록 설계된 메모리 컨트롤러가 포함되어 있습니다. Rowhammer 공격에 대한 취약성은 DRAM 장치,공급업체,기술 및 시스템 설정에 따라 다릅니다.
AMD는 이 새로운 Rowhammer 변종에 대한 민감성을 확인하려면 DRAM 또는 시스템 제조업체에 문의할 것을 권장
AMD는 또한 Rowhammer 스타일 공격에 대해 다음을 포함하여 다음과 같은 기존 DRAM 완화를 계속 권장
ECC(Error Correcting Code)를 지원하는 DRAM 사용
1x 이상의 메모리 새로 고침 빈도 사용
메모리 버스트/연기된 새로 고침 비활성화
MAC(Maximum Activate Count)(DDR4)를 지원하는 메모리 컨트롤러와 함께 AMD CPU 사용
1세대 AMD EPYC™ 프로세서(이전 코드명 "Naples")
2세대 AMD EPYC™ 프로세서(이전 코드명 "Rome")
3세대 AMD EPYC™ 프로세서(이전 코드명 "Milan")
RFM(새로 고침 관리)(DDR5)을 지원하는 메모리 컨트롤러와 함께 AMD CPU 사용
4세대 AMD EPYC™ 프로세서(이전 코드명 "Genoa")

 

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band