SMASH(同步多面锤击),一种在现代DDR4系统上通过JavaScript成功触发Rowhammer位翻转的技术。
作者:
芬恩·德·里德,苏黎世联邦理工学院和阿姆斯特丹自由大学;Pietro Frigo, Emanuele Vannacci, Herbert Bos和Cristiano Giuffrida,阿姆斯特丹自由大学;Kaveh Razavi,苏黎世联邦理工学院
文摘:
“尽管它们在dram中的目标行刷新(TRR)缓解,但一些最新的DDR4模块仍然容易受到多面Rowhammer位翻转的影响。虽然这些位翻转可以从本机代码中利用,但从JavaScript在浏览器中触发它们面临三个不小的挑战。首先,由于JavaScript中缺少缓存刷新指令,现有的基于驱逐的Rowhammer攻击对于旧的单边或双面变体来说已经很慢,因此并不总是有效。使用多面Rowhammer,发动有效的攻击更具挑战性,因为它需要从CPU缓存中清除许多不同的攻击地址。其次,最有效的多面变量(称为n-sided)需要大量物理连续的内存区域,而JavaScript中没有这些区域。最后,正如我们第一次展示的那样,基于驱逐的Rowhammer攻击需要适当的同步来绕过dram内的TRR缓解。
通过使用许多新颖的见解,我们克服了这些挑战,构建了SMASH(同步多面锤击),这是一种在现代DDR4系统上从JavaScript成功触发Rowhammer位翻转的技术。为了发动有效的攻击,SMASH利用缓存替换策略的高级知识为基于驱逐的多面Rowhammer生成最佳访问模式。为了提高对大型物理连续内存区域的要求,SMASH将n面Rowhammer分解为多个双面对,我们可以使用切片着色来识别它们。最后,为了绕过dram内的TRR缓解,SMASH仔细地调度缓存命中和错过,以成功触发同步的多面Rowhammer位翻转。我们展示了一个端到端的JavaScript漏洞,平均15分钟就能完全攻破火狐浏览器。”
找到这里是技术文件(开放)。
USENIX安全研讨会2021年8月
留下回复