ECC-geheugen toch kwetsbaar voor Rowhammer

Aanvankelijk werd bij (het in 2012 geformuleerde) Rowhammer aangenomen dat het toen nieuwere geheugentype DDR4 enigszins bestand zou zijn tegen deze manipulatie van bits in de DRAM-chips. Dit bleek niet zo te zijn.

Vervolgens overheerste de wijsheid dat ECC-geheugen dankzij de ingebouwde foutcorrectie een bitflip-aanval kan afslaan. Immers, een doelbewust omgeschakelde geheugenbit wordt door de ECC-functionaliteit gecontroleerd en weer gewijzigd. Dit blijkt echter niet afdoende om 'Rowhammer-proof' te zijn, hebben onderzoekers van de Vrije Universiteit Amsterdam nu bewezen.

Misbruikmethode ontwikkeld

Een onderzoeksgroep met VU-professor Herbert Bos heeft niet alleen deze kwetsbaarheid van ECC DRAM ontdekt, maart ook een methode ontwikkeld om bits in servergeheugen nauwgezet te wijzigen. Dus zonder dat de ECC-functie 'aanslaat' op deze geheugenmanipulatie. Het is hiermee mogelijk om data in het geheugen van servers, inclusief cloudsystemen, aan te passen.

Deze aanpassing kan een veelvoud aan kwaadaardige handelingen omvatten. De mogelijkheden lopen uiteen van het injecteren van malwarecode zijn, via het invoeren van eigen commando's, tot het wijzigen van permissies om daarlangs toegang te krijgen tot wachtwoorden, encryptiesleutels en meer. De ECCploit-methode van de VU-onderzoekers is gebaseerd op een complexe benadering, waarbij de timing van de te plegen bitflip cruciaal is.

DDR3, AMD en Intel

De onderzoekers hebben DDR3 ECC-modules getest en kwetsbaar bevonden. Dit is gedaan op vier verschillende computerconfiguraties: één met AMD Opteron-processor en drie met Intel Xeon-chips. DDR4-geheugen is niet getest, maar de onderzoekers menen dat hun ECCploit daar ook op zou moeten werken. De ECC-manipulerende aanvalsmethode wordt uiteengezet in een paper. Een pre-print uitvoering daarvan is nu geopenbaard. De definitieve versie van de paper wordt gepresenteerd op de securityconferentie S&P 2019 (Symposium on Security & Privacy).