目前針對Rowhammer攻擊的防護措施依舊不足。

當前的解決方案對于已知的Rowhammer變種是有效的，但是攻擊的可能性是無窮無盡的，仍然有可能被利用。新發(fā)現(xiàn)表明，內(nèi)存位翻轉(zhuǎn)在很多設(shè)備上都有效，包括Google、三星和OnePlus的流行智能手機。

Rowhammer風(fēng)險持續(xù)存在

攻擊通過利用動態(tài)隨機存取存儲器(DRAM)中可用存儲單元的緊密接近來發(fā)揮作用。

通過對一行進行足夠的讀寫操作，相鄰數(shù)據(jù)位的值可以從1變?yōu)?，反之亦然(位翻轉(zhuǎn))。當前攻擊的變種最多訪問兩個內(nèi)存行(稱為攻擊者)。

這個改變可能導(dǎo)致拒絕服務(wù)情況、增加計算機特權(quán)，甚至允許劫持系統(tǒng)。而隨著時間的推移，Rowhammer攻擊被證明是通過破壞Linux內(nèi)核，打破云隔離、根移動設(shè)備、控制Web瀏覽器，通過網(wǎng)絡(luò)定位服務(wù)器應(yīng)用程序或提取存儲在RAM中的敏感信息。

迄今為止，最好的防御方法稱為“目標行刷新”(TRR)，它可以消除Rowhammer攻擊的風(fēng)險。但由于技術(shù)保護，關(guān)于TRR是如何工作的，以及每個供應(yīng)商/制造商是如何部署TRR的信息很少。

VUSec(VU Amsterdam的系統(tǒng)和網(wǎng)絡(luò)安全組織)的研究人員說，與普遍的看法相反，TRR并不是單一的緩解機制。這是一個籠統(tǒng)的術(shù)語，它定義了不同級別的硬件堆棧上的多個解決方案，也就是說制造商采用了不同的途徑來獲得相同的結(jié)果。

目前，VUSec對所有已知的Rowhammer變種進行了測試，對一批啟用TRR的42個DDR4模塊進行了測試，結(jié)果沒有發(fā)生位翻轉(zhuǎn)，表明防御措施對已知攻擊有效。而不同供應(yīng)商的DRAM芯片中有多種TRR實現(xiàn)方法，而且每個芯片的易受攻擊單元的分布方式不同。

TRRespass-Rowfuzzer

在提供SoftMC(基于FPGA的基礎(chǔ)架構(gòu))的蘇黎世ETH研究人員的幫助下，VUSec試驗了DRAM芯片并了解其內(nèi)部操作。

實驗表明了，在熟悉緩解措施后很容易發(fā)生翻轉(zhuǎn)位。此外，他們還注意到，由于允許的行激活次數(shù)不同，DDR4芯片上的漏洞比DDR3上的漏洞更嚴重(后者的漏洞激活數(shù)更高)。

他們發(fā)現(xiàn)，當前的TRR跟蹤攻擊者敲擊的有攻擊行數(shù)有限，其中兩個是當前演示的攻擊中使用最多的。

緩解措施顯然不能同時保留所有訪問行的信息，因為這將需要大量的額外內(nèi)存，也無法刷新所有受害者

因此，他們繼續(xù)試驗。通過對SoftMC的最新研究，VUSec創(chuàng)建了一個名為TRResspass的模糊工具，在現(xiàn)代系統(tǒng)上識別TRR感知的RowHammer訪問模式。

雖然模糊測試是軟件測試中的常用技術(shù)，但我們實現(xiàn)了第一個用來觸發(fā)DRAM中的Rowhammer變種的模糊測試器

TRResspass是開源的，通過在DRAM中的各個位置重復(fù)選擇隨機行來工作。研究人員開發(fā)了更廣泛的類別，他們稱之為“多面Rowhammer”。

據(jù)了解，TRResspass在啟用TRR保護的情況下，為42個內(nèi)存模塊中的13個恢復(fù)了有效的訪問模式。

他們強調(diào)，TRResspass引起位翻轉(zhuǎn)的所有模塊都容易受到至少兩種錘擊模式的影響。同樣，模式從一個模塊到另一個模塊也有所不同。

讓模糊測試器在13款智能手機中的低功耗DDR4模塊上工作，使它成功地在5種型號中找到導(dǎo)致位翻轉(zhuǎn)的Rowhammer模式：Google Pixel、Google Pixel 3、LG G7 ThinQ、OnePlus 7和Samsung Galaxy S10e(G970F/DS)。

盡管沒有通過調(diào)整攻擊來提高效率，但使用更復(fù)雜的模式利用該漏洞卻產(chǎn)生了令人印象深刻的結(jié)果：

獲得內(nèi)核權(quán)限所需的最長時間是3小時15分鐘，而最短時間是2.3秒。他們能夠在39分鐘內(nèi)從受信任的RSA-2048密鑰偽造簽名(在其他芯片上，可能需要一分鐘以上的時間)。

只需要用一個內(nèi)存模塊就可以繞過sudo權(quán)限檢查，并且花費了54分鐘。

2019年11月，VUSec披露了新型的Rowhammer攻擊，但新的緩解措施實施起來并不容易，并且需要花費一些時間來部署。

最后，VUSec表示，還沒有完全可靠的解決方案可以應(yīng)對Rowhammer，諸如ECC或使用大于1倍的內(nèi)存刷新率等權(quán)宜之計已經(jīng)沒有效果了。DDR4內(nèi)存仍在Rowhammer的陰影之下。