0xNews - 자바스크립트 익스플로잇으로 DDR4 공격 가능 확인
0xNews - 자바스크립트 익스플로잇으로 DDR4 공격 가능 확인
유럽 대학교 교수팀 새로운 논문 발표
https://www.vusec.net/projects/smash/
SMASH Synchronized MAny-Sided Hammering 라고 명명
RAM 제조업체에서 시행착오와 취약점 지적을 통해 완화 조치를 했음에도 최신 DDR4 RAM 에서 javascript 익스플로잇을 통해 공격 트리거 사용 가능 확인
DRAM 내 TRR Target Row Refresh 완화에도 불구
최신 DDR4 모듈 중 일부는 여전히 Rowhammer 비트플립에 취약함을 확인
SMASH 는 캐시 교체 정책에 대한 높은 수준의 지식을 활용
축출 기반 eviction-based 다측 many-sided Rowhammer 에 대한 최적의 접속 패턴 생성
In-DRAM TRR 완화를 우회하기 위해 SMASH 는 동기화된 다측 Rowhamer 비트를 성공적으로 트리거하기 위해 캐시 적중과 누락을 예약하여 정보 취득
메모리 요청을 DRAM 새로 고침 명령과 동기화함으로써 평균 15분만에 Firefox 브라우저를 완전히 손상시킬 수 있는 종단간 javascript 익스플로잇 exploit 개발
웹 사용자가 이러한 공격으로부터 계속 위험에 노출되어 있음을 증명
Rowhammer 는 DDR4 시스템의 하드웨어 설계 특성을 활용하여 일련의 공격을 포괄적으로 가르키는 용어
메모리 RAM 은 실리콘 칩에 매트릭스 형태로 배열된 메모리 셀로 내부에 데이터를 저장
그러나 커패시터의 자연 방전 속도가 주어지면 메모리 셀은 시간이 지남에 따라 상태를 잃는 경향을 가짐
커패시터의 전하를 원래 수준으로 복원하기 위해 각 셀을 주기적으로 읽고 쓰기를 반복해야 함
반면 DRAM 집적회로의 밀도가 증가하면 메모리 셀간의 전자기 상호 작용 속도가 증가하고 데이터 손실 가능성이 상승
2014년 메모리 행에 대해 빠른 읽기/쓰기 작업을 반복적으로 수행함으로써 근처 메모리 행에 저장된 데이터를 변경하는 전기적 장애를 유발할 수 있음을 발견
이런 공격을 row hammering 이라 함
이후 원래 Rowhammer 연구 방법과 악용 가능 시나리오를 확장하여 공격 방법이 고안되고 연구와 테스트를 반복
이러한 노력을 통해 다음 알려진 취약점과 버그 등을 발견과 보고
보호 기능 우회 ECCploit
https://www.vusec.net/projects/eccploit/
javascript 공격
https://gruss.cc/files/rowhammerjs.pdf
네트워크 패킷이나 필드를 통해 공격 가능 Throwhammer
https://download.vusec.net/papers/throwhammer_atc18.pdf
FPGA Programmable Gate Arry 카드 공격
https://arxiv.org/pdf/1912.11523.pdf
동일한 하드웨어에서 실행되는 다른 프로세스의 메모리상의 민감 정보 탈취 RAMBleed
https://rambleed.com/docs/20190603-rambleed-web.pdf
2020년 3월 연구팀은 TRRespass 라는 퍼징 도구 개발
TRR Target Row Refresh 와 같은 업계 전반에 대응책과 방안을 위해 퍼징 도구 시연 발표
https://www.vusec.net/projects/trrespass/
TRRespass 가 네이티브 코드를 사용하여 TRR 우회 달성하는 것을 목표로 하지만 javascript 에서 브라우저에 이를 트리거 하는데 사용할 수 있는 방법은 없음
SMASH 공격 기법을 통해 공격자에게 브라우저에서 임의의 읽기와 쓰기에 대한 루트 권한 정도의 성격 부여
익스플로잇 체인은 피해자가 공격자의 통제하에 있는 악성 웹 사이트 혹은 악성 광고가 포함된 정상적인 웹 사이트를 방문할 때 시작되며 피해자의 브라우저를 제어하기 위해 javascript 샌드박스 내에서 트리거 되는 Rowhammer 비트플립을 활용
이번 버그를 공개한 연구팀은 현재 버전의 SMASH 는 효율적인 자체 축출 패턴 구축을 위해 투명한 거대 페이지 transparent huge pages 에 의존
THP 를 비활성화하면 성능 오버 헤드가 발생하지만 현재 SMASH 인스턴스가 중지
또한 이번 공격은 브라우저의 포인터를 손상시켜 ASLR 을 깨고 위조 개체로 전환
소프트웨어나 하드웨어에서 포인터의 무결성을 보호하면 현재 SMASH 공격은 중지
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.