È stata sviluppata una nuova variante degli attacchi Rowhammer in grado di bypassare i più recenti meccanismi di sicurezza dei chip DDR5 di SK Hynix. Denominato Phoenix, l’attacco consente l’accesso root ai sistemi basati su DDR5 in meno di due minuti.

Ricordiamo che l’ attacco Rowhammer originale è stato ideato dagli esperti della Carnegie Mellon University nel 2014. La sua essenza risiede nel fatto che una manipolazione intensa di alcune celle di memoria può causare un cambiamento nello stato dei bit nelle celle adiacenti.

Le celle di memoria memorizzano le informazioni sotto forma di cariche elettriche, che determinano il valore dei bit al loro interno, ovvero 1 o 0. A causa dell’aumentata densità delle celle, ripetuti “colpi di martello” (quando un’applicazione accede alle stesse aree migliaia di volte in una frazione di secondo) possono modificare lo stato di carica nelle righe adiacenti, causando “bit flip”. Da qui il nome “Rowhammer”.

Uno dei meccanismi di difesa contro gli attacchi Rowhammer è chiamato Target Row Refresh (TRR). Previene il bit flipping attivando ulteriori aggiornamenti di riga quando vengono rilevati accessi frequenti a una riga specifica.

L’attacco Phoenix rowhammer è stato sviluppato da Google e dal team COMSEC del Politecnico Federale Svizzero di Zurigo (ETH Zurich). Il rapporto sottolinea che l’attacco è stato testato sui chip di memoria DDR5 di Hynix (uno dei maggiori produttori di chip di memoria, con una quota di mercato di circa il 36%), ma Phoenix potrebbe minacciare anche i prodotti di altri produttori.

Dopo aver analizzato le sofisticate difese implementate da Hynix per proteggersi dagli attacchi Rowhammer e averne esaminato il funzionamento, i ricercatori hanno scoperto che alcuni intervalli di aggiornamento non erano monitorati dalle difese, il che avrebbe potuto essere sfruttato da un ipotetico aggressore.

Gli esperti hanno anche sviluppato un metodo che consente a Phoenix di tracciare e sincronizzare migliaia di operazioni di aggiornamento, eseguendo l’autocorrezione quando ne vengono rilevate di mancanti. Per aggirare la protezione TRR, Phoenix si estende su intervalli di aggiornamento di 128 e 2608 e agisce solo su specifici slot di attivazione in momenti specifici.

Di conseguenza, i ricercatori sono riusciti a “invertire” i bit su tutti i 15 chip di memoria DDR5 nel pool di test e a creare un exploit di escalation dei privilegi utilizzando Rowhammer. I test hanno dimostrato che ottenere una shell di root “su un tipico sistema DDR5 con impostazioni predefinite” ha richiesto solo 109 secondi.

Gli autori di Phoenix hanno anche esplorato la potenziale applicazione pratica di questo attacco per ottenere il controllo di un sistema bersaglio. Hanno scoperto che, quando si prendevano di mira le PTE per creare primitive di lettura/scrittura arbitrarie, tutti i prodotti testati presentavano la vulnerabilità. In un altro test, i ricercatori hanno preso di mira le chiavi RSA-2048 delle macchine virtuali per decifrare l’autenticazione SSH e hanno scoperto che il 73% dei moduli DIMM era vulnerabile a tale attacco.

In un terzo esperimento, i ricercatori hanno scoperto di poter modificare il binario sudo per elevare i privilegi locali al livello root sul 33% dei chip testati. Come mostra la tabella, tutti i chip di memoria testati erano vulnerabili ad almeno uno dei pattern Rowhammer dell’attacco Phoenix. Il pattern più breve, con intervalli di aggiornamento di 128, si è dimostrato più efficace e ha generato in media più flip.

Al problema Phoenix è stato assegnato l’identificatore CVE-2025-6202 e gli autori dell’attacco avvertono che riguarda tutti i moduli RAM DIMM prodotti tra gennaio 2021 e dicembre 2024.

Sebbene Rowhammer sia un problema di sicurezza diffuso a livello di settore e non possa essere risolto con patch nei moduli di memoria attualmente in commercio, gli utenti possono proteggersi da Phoenix triplicando l’intervallo di aggiornamento della DRAM (tREFI). Tuttavia, è stato notato che questo può causare errori e corruzione dei dati, con conseguente instabilità complessiva del sistema.

Oltre a un rapporto dettagliato sul nuovo attacco, i ricercatori hanno pubblicato su GitHub tutto il necessario per riprodurre Phoenix. Il repository include esperimenti FPGA per l’inversione delle implementazioni TRR e codice di exploit proof-of-concept.

L'articolo Root in meno di due minuti: come Phoenix sfrutta falle nelle TRR dei moduli DDR5 proviene da il blog della sicurezza informatica.