Cinco académicos de la Universidad Vrije en Amsterdam y uno de la Universidad de Chipre han descubierto una forma de lanzar ataques de Rowhammer a través de paquetes de red y tarjetas de red.
Su descubrimiento hace que los ataques de Rowhammer sean más fáciles y mucho más cómodos de lanzar, ya que un atacante solo necesita bombardear la tarjeta de red de la víctima con paquetes especialmente diseñados.
Esto es mucho más simple que los ataques anteriores de Rowhammer que requerían que el atacante infectara a la víctima con malware o engañara a las víctimas para acceder a sitios web maliciosos, donde cargarían el código de ataque de Rowhammer oculto dentro del JavaScript del sitio.
Los investigadores nombraron su nuevo método de ataque de Rowhammer, Throwhammer, que detallaron en un trabajo de investigación titulado "Throwhammer: Rowhammer Attacks sobre la red y las defensas".
Algunos podrían argumentar que Throwhammer no debería ser posible en primer lugar. Los ataques de Rowhammer -que están en la base de Throwhammer- funcionan al filtrar direcciones de memoria y luego generar una fila de celdas de memoria para inducir volteos de 0/1 bit en las celdas de memoria cercanas, y por lo tanto, modificar los datos almacenados dentro de la RAM de una computadora.
Throwhammer es posible porque los datos enviados a una tarjeta de red se almacenan en caché dentro de la memoria RAM, lo que produce el mismo efecto.
Pero no todas las tarjetas de red pueden manejar la gran cantidad de tráfico entrante necesario para provocar el volcado de Rowhammer. Los investigadores dicen que solo las tarjetas de red habilitadas con RDMA son vulnerables.
RDMA significa Remote Direct Memory Access, una tecnología que expone la memoria de una computadora directamente a través de una red sin involucrar la CPU y el sistema operativo de la máquina, por lo tanto, puede procesar más paquetes que las tarjetas de red anteriores.
Las tarjetas de red habilitadas para RDMA son comunes en los grandes grupos de computadoras, y especialmente en los centros de datos de computación en la nube.
El ancho de banda de red no es un dealbreaker para Throwhammer
"Los NIC modernos pueden transferir grandes cantidades de tráfico de red a la memoria remota. En nuestra configuración experimental, observamos cambios de bits al acceder a la memoria 560,000 veces en 64 ms, lo que se traduce en 9 millones de accesos por segundo", escribieron los investigadores en el documento Throwhammer.
"Incluso las tarjetas Ethernet normales de 10 Gbps pueden enviar fácilmente 9 millones de paquetes por segundo a un host remoto que termina almacenado en la memoria del host", dijeron los investigadores, señalando que un atacante no necesita necesariamente una conexión de red rápida para llevar a cabo el ataque, pero solo la presencia de una tarjeta de red habilitada para RDMA.
Para la parte experimental de su artículo, los investigadores dicen que fueron capaces de causar volteos de bits en un servidor Memcached remoto simplemente usando paquetes de red (el ataque Throwhammer) y sin necesidad de acciones del usuario (como se requería con el clásico Rowhammer).
Throwhammer puede ser mitigado
"Hasta donde sabemos, este es el primer caso reportado de un ataque de Rowhammer a través de la red", dijeron los investigadores. Sin embargo, el ataque Throwhammer no es algo que cualquier proveedor de la nube agregará en la parte superior de su lista de amenazas.
El ataque es altamente teórico, y necesita muchas condiciones especiales y mucho trabajo para crear paquetes de red Throwhammer que induzcan lanzamientos de bits muy precisos para ejecutar aún más comandos precisos en servidores remotos en la nube o computadoras personales. Esto pone ese ataque fuera del alcance de muchos actores de amenazas.
Además, los investigadores argumentan que los proveedores de nubes podrían protegerse fácilmente contra estos ataques poniendo "zonas de guardia" especiales alrededor de las direcciones de memoria donde el búfer/memoria caché RDMA generalmente se escribe, evitando así que los cambios de bits afecten a cualquier información sensible.
No obstante, en comparación con los ataques anteriores de Rowhammer, Throwhammer es, con mucho, el más peligroso de todos, principalmente debido a su modus operandi sin necesidad de interacción del usuario.
Las investigaciones previas sobre el tema incluyen descubrimientos como:
- Ataques de Rowhammer contra tarjetas de memoria DDR3 y DDR4
- Los ataques de Rowhammer pueden ejecutarse a través de JavaScript mundano y no necesariamente a través de malware especializado
- Los ataques de Rowhammer pueden tomar las máquinas de Windows atacando el navegador Edge
- Los ataques de Rowhammer pueden tomar las máquinas virtuales basadas en Linux instaladas en proveedores de hospedaje en la nube
- Los ataques de Rowhammer pueden rootear los dispositivos Android
- Los investigadores pasan por alto las protecciones de Rowhammer implementadas después de la divulgación de los primeros ataques
- Los ataques de Rowhammer se pueden iniciar con la ayuda de tarjetas GPU
