Los investigadores académicos han ideado una nueva variante de los ataques de Rowhammer que evitan los últimos mecanismos de protección en los chips de memoria DDR5 de SK Hynix.
Un ataque de Rowhammer funciona accediendo repetidamente a filas específicas de celdas de memoria en operaciones de lectura/escritura de alta velocidad para causar suficiente interferencia eléctrica para alterar el valor de los bits cercanos de uno a cero y viceversa (volteo de bits).
Un atacante podría tener datos corruptos, aumentar sus privilegios en el sistema, ejecutar código malicioso o obtener acceso a datos confidenciales.
Un mecanismo de defensa contra los ataques de Rowhammer se llama Actualización de la fila de destino (TRR), que evita que los flips de bits emiten un comando de actualización adicional al detectar accesos frecuentes a una fila particular.
Hamming DDR5 para la escalada de privilegios
Un equipo de investigadores en el grupo de seguridad informática (COMSEC) de la Universidad Eth Zurich en Suiza y Google creó un nuevo ataque DDR5 Rowhammer que llaman Phoenix, que puede voltear bits en chips de memoria para permitir actividades maliciosas.
Las pruebas se llevaron a cabo en productos DDR5 de Hynix, uno de los fabricantes de chips de memoria más grandes con aproximadamente el 36% del mercado, pero el riesgo de seguridad también puede extenderse a los productos de otros proveedores.
Después de la ingeniería inversa de las complejas protecciones que Hynix implementó contra Rowhammer y aprender cómo funcionaban, los investigadores descubrieron que la mitigación no muestra ciertos intervalos de actualización, lo que podría explotarse.
También desarrollaron un método para que Phoenix rastreara y sincronice con miles de operaciones de actualización al autocorrección cuando detecta uno perdido.
Para evadir las protecciones de TRR, los patrones de Rowhammer en el ataque de Phoenix cubren 128 y 2608 intervalos de actualización y ranuras de activación específicas de martillo solo en momentos precisos.
Usando su modelo, los investigadores pudieron voltear bits en los 15 chips de memoria DDR5 en el grupo de pruebas y crearon la primera exploit de escalada de privilegios de Rowhammer.
Durante las pruebas, les llevó menos de dos minutos obtener un shell con privilegios raíz «en un sistema DDR5 de productos básicos con configuraciones predeterminadas».
https://www.youtube.com/watch?v=1emxvq6__qg
Además, los investigadores también exploraron la posibilidad de explotación práctica utilizando el método de ataque de Phoenix para tomar el control de un sistema objetivo.
Cuando se dirigen a las entradas de la tabla de página (PTE) para crear una primitiva de lectura/escritura de memoria arbitraria, descubrieron que todos los productos en la prueba son vulnerables.
En otra prueba, se dirigieron a las claves RSA-2048 de una VM ubicada para romper la autenticación SSH y descubrieron que el 73% de los DIMM están expuestos.
En una tercera evaluación, los investigadores encontraron que podían alterar el binario de sudo para aumentar sus privilegios locales al nivel de raíz en el 33% de los chips probados.
Fuente: Comsec eth Zurich
La tabla anterior muestra que todos los chips de memoria probados son vulnerables a uno de los patrones de Rowhammer utilizados en el ataque de Phoenix. Sin embargo, el más corto con 128 intervalos de actualización es más efectivo, generando más volteos de bits en promedio.
Phoenix actualmente es rastreado como CVE-2025-6202 y recibió un puntaje de alta severidad. Afecta todos los módulos DIMM RAM producidos entre enero de 2021 y diciembre de 2024.
Aunque Rowhammer es un problema de seguridad en toda la industria que no se puede corregir para los módulos de memoria existentes, los usuarios pueden detener los ataques de Phoenix al triplicar el intervalo de actualización DRAM (TREFI).
Sin embargo, este tipo de estrés puede causar errores o corrupción de datos y hacer que el sistema sea inestable.
Un documento técnico titulado «Phoenix: Rowhammer ataques contra DDR5 con sincronización de autocorrección«Se ha publicado y también se presentará en el Simposio IEEE sobre seguridad y privacidad el próximo año.
Los investigadores también compartieron un repositorio Con recursos para reproducir el ataque Phoenix, que incluye experimentos basados en la matriz de compuertas programables de campo (FPGA) para invertir implementaciones de ingeniería de ingeniería, y el código para las exploits de prueba de concepto.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
