Source: Computer Security Group (ETH Zurich) via comsec.ethz.ch — Les chercheurs dévoilent « Phoenix », une nouvelle méthode Rowhammer qui cible des modules DDR5 SK Hynix et contourne des protections in-DRAM modernisées.
🔬 Les auteurs ont rétro‑ingéniéré le mécanisme Target Row Refresh (TRR) des DDR5 SK Hynix et mis en évidence des « angles morts » dans l’échantillonnage des rafraîchissements. Ils montrent que le TRR répète son cycle tous les 128 intervalles tREFI, avec des intervalles faiblement échantillonnés exploitables. Deux motifs d’attaque Rowhammer sont dérivés: un motif court sur 128 tREFI (P128) et un motif long sur 2608 tREFI (P2608), chacun contournant les mitigations sur l’ensemble des 15 DIMMs testés.
⚙️ Pour gérer la longueur des motifs (jusqu’à 163× plus longs que l’état de l’art) et rester aligné sur les commandes de rafraîchissement, Phoenix introduit une synchronisation de rafraîchissement auto‑corrective. Cette approche détecte les rafraîchissements manqués et se réaligne périodiquement, permettant de tenir la synchronisation sur des milliers d’intervalles, là où Zenhammer et sa variante multithread échouent.
🧪 Résultats clés:
- 15/15 DIMMs DDR5 SK Hynix (fab. 2021–2024) vulnérables à l’un des deux motifs (P128 plus efficace en moyenne, 2,62×). 4989 flips de bits en moyenne sur P128.
- Exploitabilité démontrée: attaque PTE (toutes les barrettes), fuite de clé RSA-2048 d’une VM co‑localisée (73% des DIMMs vulnérables), altération binaire sudo pour élévation locale (33%). Démo d’élévation de privilèges sous paramètres par défaut en 109 s; temps moyen d’exploitation: 5 min 19 s.
- L’ODECC ne bloque pas l’attaque: les flips s’accumulent dans le temps.
- Mitigation validée sur leurs tests: tripler le taux de rafraîchissement (tREFI ≈ 1,3 µs) stoppe Phoenix, avec ~8,4% d’overhead SPEC CPU2017.
📌 Cadre et divulgation: Phoenix est suivi sous CVE-2025-6202. Divulgation coordonnée via le NCSC suisse (06/06/2025) vers SK Hynix, vendeurs CPU et cloud; embargo levé le 15/09/2025. Un BIOS pour machines client AMD a été annoncé le 12/09, non vérifié par les auteurs. Artefacts, PoC (AMD Zen 4), et code d’expérimentation sont publiés sur GitHub; présentation prévue à IEEE S&P 2026. Un billet Google Security Blog accompagne ces travaux.
IOCs: aucun indiqué.
TTPs observés/étudiés:
- Variante Rowhammer ciblant DDR5 avec motifs P128 et P2608 exploitant des intervalles tREFI faiblement échantillonnés (contournement TRR).
- Synchronisation de rafraîchissement auto‑corrective pour tenir des motifs très longs.
- Alignement multi‑banques et décalage de motifs pour augmenter la probabilité d’offset de rafraîchissement vulnérable.
- Exploitations: flips sur PTE pour R/W arbitraire, corruption de clés RSA-2048 (VM co‑localisée), corruption de binaire sudo (élévation de privilèges).
Type d’article: publication de recherche présentant une nouvelle attaque matérielle et son évaluation expérimentale.
🧠 TTPs et IOCs détectés
TTP
Variante Rowhammer ciblant DDR5 avec motifs P128 et P2608 exploitant des intervalles tREFI faiblement échantillonnés (contournement TRR). Synchronisation de rafraîchissement auto-corrective pour tenir des motifs très longs. Alignement multi-banques et décalage de motifs pour augmenter la probabilité d’offset de rafraîchissement vulnérable. Exploitations: flips sur PTE pour R/W arbitraire, corruption de clés RSA-2048 (VM co-localisée), corruption de binaire sudo (élévation de privilèges).
IOC
aucun indiqué
🔗 Source originale : https://comsec.ethz.ch/research/dram/phoenix/