Уязвимость в самой современной памяти: перезапись строк даёт полный доступ

Исследователи COMSEC вместе с инженерами Google выявили новую модификацию атаки Rowhammer, способную обойти защитные механизмы в современных модулях DDR5 от SK Hynix — уязвимость зарегистрирована как CVE-2025-6202. Авторы назвали метод «Phoenix»: он эксплуатирует пропуски в механизме целевого обновления строк памяти и синхронизируется с чередой циклов обновления, чтобы индуцировать непреднамеренные инверсии битов в чипах.

Классический Rowhammer достигает эффекта путём многократного доступа к строкам, соседствующим с целью, что вызывает электрические наводки и перевороты битов — это даёт шанс нарушителю повредить данные, повысить привилегии или исполнить произвольный код. Производитель применил механизм Target Row Refresh (TRR), который добавляет дополнительные обновления при подозрительной активности, но исследователи проанализировали реализацию Hynix и обнаружили интервалы обновлений, остающиеся вне контроля TRR. Phoenix компенсирует такие «пропуски» самонастраивающимся синхронизирующимся алгоритмом и точечными шаблонами обращений к строкам, охватывающими наборы из 128 и 2608 интервалов обновления, сжимающимися до конкретных моментов активации.

В тестах уязвимость проявилась на всех 15 проверенных модулях DDR5 Hynix — короткий шаблон (128 интервалов) оказался наиболее результативным, обеспечивая больше случаев инверсии битов. На «товарной» платформе с заводскими настройками исследователям потребовалось менее двух минут, чтобы добиться прав root. В практических сценариях атаки результаты также тревожны: при целевой коррозии записей таблицы страниц (PTE) все протестированные образцы были подвержены; при попытке вмешательства в RSA-2048 соседней виртуальной машины 73% DIMM позволяли получить утечку данных; модификация бинарника sudo с целью повышения локальных привилегий сработала на 33% модулей.

Команда указывает, что уязвимые DIMM-ы были выпущены в период с января 2021 по декабрь 2024 года, и подчёркивает: это системная проблема архитектуры DRAM, которую нельзя полностью ликвидировать для уже произведённых плат. В качестве временной контрмеры предлагается утроение интервала обновления DRAM (tREFI), однако такая «передышка» повышает риск нестабильности и появления ошибок. Техническая статья подготовлена к публикации и докладу на IEEE Symposium on Security and Privacy; репозиторий с материалами для воспроизведения экспериментов и PoC-кодом выложен на GitHub.