- يتجاوز برنامج Phoenix (CVE-2025-6202) TRR وECC على الشريحة على SK Hynix DDR5، ويحقق الجذر في دقائق.
- يستغل نمطان (128 و2608 tREFI) وتوقيت التصحيح الذاتي نقطة عمياء في أخذ العينات من TRR.
- تم اختبار 15 وحدة ذاكرة DIMM: آلاف من عمليات التقليب، وهجمات PTE، وسرقة RSA-2048، وتصعيد sudo.
- التخفيف المؤقت: تحديث 3 مرات (≈8,4٪ من التكلفة)؛ الأجهزة العامة والتنسيق مع الشركات المصنعة.
ينظر مجتمع الأمن والأجهزة مرة أخرى إلى الذاكرة الرئيسية: هجوم جديد من نوع RowHammer، يُطلق عليه فينيكس (CVE-2025-6202)يُظهر بحثٌ مشتركٌ أجراه المعهد الفيدرالي السويسري للتكنولوجيا في زيورخ (ETH Zurich) وجوجل أن بعض وحدات SK Hynix DDR5 لا تزال عُرضةً للخطر على الرغم من الحماية المُتقدمة. يكشف بحثٌ مشتركٌ أجرته الجامعة الفيدرالية السويسرية للتكنولوجيا في زيورخ (ETH Zurich) وجوجل، من خلال اختباراتٍ قابلةٍ للتكرار، أن ترقية صلاحيات الجذر إلى الجذر ممكنةٌ على أجهزة الكمبيوتر المكتبية ذات الإعدادات الافتراضية في غضون دقائق. دقيقة.
بعيدًا عن العنوان، المهم هو أن الباحثين وصفوا بدقة سبب فشل دفاعات ذاكرة الوصول العشوائي الديناميكية (TRR) وكيف تمكنوا من تجاوزها. ووثّقوا أنماطًا جديدة للطرق، وتوقيت تحديث ذاتي التصحيح، وظروف استغلال واقعية تؤثر على... البيئات المحلية ومتعددة المستأجرينويتم كل ذلك مصحوبًا بالقطع الأثرية العامة والتنسيق المسؤول مع الشركات المصنعة ومقدمي الخدمات السحابية.
ما هو RowHammer ولماذا يعود بقوة؟
RowHammer هو نقطة ضعف في أجهزة DRAM حيث يمكن أن يؤدي الوصول المتكرر إلى صف واحد إلى تقلبات البت في الصفوف المجاورة، مما يُسبب تلفًا في البيانات. منذ التجربة الأولى عام ٢٠١٤، لوحظ أنه مع زيادة كثافة الخلايا لزيادة السعة، يزداد عدد التنشيطات اللازمة لتحفيز قلب البت. تخفيض، مما يزيد من المخاطر.
الآثار العملية معروفة جيدًا: إفساد هياكل النظام الحيوية، وتوسيع نطاق الامتيازات، أو رفض الخدمة. وقد أظهرت الأبحاث السابقة أن قابلية التأثر تعتمد على متغيرات متعددة، بما في ذلك درجة الحرارة، الجهد، واختلافات التصنيع، وأنماط البيانات المخزنة، وأنماط الوصول إلى الذاكرة، وسياسات وحدة التحكم.
تم اقتراح حلول لتخفيف المشكلة، مثل رمز تصحيح الخطأ (ECC) وتحديث صف الهدف (TRR). ومع ذلك، أظهرت دراسات لاحقة إمكانية تجاوز هذه الحلول الدفاعية بهجمات أكثر تطورًا: تعدي، SMASH، نصف مزدوج أو حداد، وغيرها. حتى أن التأثيرات شوهدت في مناطق مختلفة تمامًا، مثل البصمات من الأجهزة من خلال المتغيرات المشتقة.
بالتوازي مع ذلك، أطلقت منظمة JEDEC مؤخرًا آلية سلامة تُسمى عدّ التنشيط لكل صف (PRAC) للكشف عن أنماط RowHammer والحد من حركة المرور العدوانية. ومع ذلك، ووفقًا لجوجل، لم تُدمج أنظمة DDR5 المُختبرة PRAC، مما يفتح الباب أمام تقنيات استغلال جديدة. في الإنتاج.
فينيكس (CVE-2025-6202): من اكتشفه وماذا يفعل
تمكن فريق مشترك من المعهد الفيدرالي السويسري للتكنولوجيا في زيورخ (COMSEC) وجوجل من تحديد النقطة العمياء على دفاعات DDR5 TRR المتكاملة من SK Hynix. حقق Phoenix أول تصعيد شامل للامتيازات على جهاز كمبيوتر شخصي للمستهلك مزود بذاكرة DDR5 قياسية، حيث وصل إلى الجذر بالإعدادات الافتراضية في غضون 109 ثانية في الحالة الأكثر ملاءمة، وبمتوسط أوقات استغلال عملي تبلغ 5 دقائق و19 ثانية في بعض العروض التوضيحية.
تم اختبار البحث على نظام مع وحدة المعالجة المركزية AMD Zen 4 ووحدات SK Hynix DDR5، بهدف تكرارها لاحقًا على ذاكرة ومعالجات أخرى. تؤثر النتائج على 15 وحدة صُنعت بين عامي 2021 و2024: جميعها تعرض لتقلبات بتات ضمن أحد النمطين الجديدين اللذين طورهما الفريق. صُنف الهجوم على أنه CVE-2025-6202 ويتم إعطاؤه شدة عالية في CVSS v4 (7.1)، مع توثيق القيم والمتجهات في مصادر مثل Mitre وNVD.
حقيقة ذات صلة: وحدة التحكم الإلكترونية على القالب لا يمنع استخدام RowHammer في DDR5. يُظهر المؤلفون أن التقلبات قد تتراكم بمرور الوقت، حيث يقوم نظام ECC الموجود على الشريحة بتصحيح الأخطاء أثناء الكتابة أو من خلال تصحيحات دورية (مثلاً، كل 24 ساعة). يسمح استخدام الطرق لفترات أطول، بالإيقاع المناسب، تجاوز تلك الطبقة من الحماية.
وتتراوح إمكانيات الاستغلال بين التغيير جداول الصفحات للحصول على حق الوصول العشوائي للقراءة/الكتابة، حتى استخراج مفاتيح RSA‑2048 من الآلات الافتراضية الموجودة في نفس الموقع (كسر مصادقة SSH) أو التلاعب بالثنائيات مثل سودو لتعزيز الامتيازات المحلية. لذا، نواجه سيناريو يؤثر على كلٍّ من محطات العمل والبنى التحتية المشتركة.
كيف حققوا التجاوز: TRR، فترات أخذ العينات والأنماط الجديدة
قلب الاكتشاف هو الهندسة العكسية من تخفيفات TRR في ذاكرة الوصول العشوائي الديناميكية (DRAM). من خلال تجارب قائمة على FPGA باستخدام أخطاء الاحتفاظ كقناة جانبية، لاحظ الباحثون أن نظام أخذ العينات TRR يكرر دورته كل 128 فترة tREFI، وهو نطاق أوسع بمقدار 8 مرات من النطاق الذي تم تصوره بواسطة أنماط RowHammer الكلاسيكية.
من خلال "التكبير"، تظهر الدراسة أنه في آخر 64 فترة من تلك الدورة، يوجد هيكل فرعي متكرر من أربع فترات فرعية حيث يتم أخذ العينات من أول فترتين. قليلا أو لا شيء تقريبًا. هذا التباين يترك فرصة سانحة: إذا كان القصف يتماشى مع هذه المناطق "المأخوذة بعيوب طفيفة"، فإن الدفاعات لا تكتشف النشاط العدواني في الوقت المناسب.
باستخدام هذا الدليل، استنتج الفريق نمطين طويلي الأمد. يغطي الأول فقط 128 تريفيتجنب الضرب في البداية وركز النشاط على نطاقات أخذ العينات المنخفضة، وكرر الجزء الثاني ١٦ مرة لتجميع ٣٢ فترة ضرب فعالة لكل تكرار. يغطي الجزء الثاني نمطًا أطول بكثير من 2608 تريفي، مخصص للأجهزة الأخرى ذات الاختلافات الداخلية.
التوقيت أمر بالغ الأهمية: فقط 2 من 128 إزاحات التحديث معرضة للخطر، مما يعطي احتمالية إصابة أولية بنسبة 1,56%. لزيادة فرصهم، يقومون بتشغيل نفس تسلسل الإزاحة بالتوازي على كل من البنوك الأربعة، مما يزيد احتمالية إصابة الإزاحة الصحيحة بمقدار 16 إلى ما يقرب من 25%.
المزامنة ذاتية التصحيح: قفزة عملاقة إلى الأمام من المحاولات السابقة
كان التحدي الرئيسي هو الحفاظ على التوافق مع المشروبات الغازية على مدى آلاف الفترات، لأن أنماط فينيكس أكبر بمقدار 1 إلى 2 من حيث الحجم من الأنماط النموذجية. وجد الباحثون أن روتين مزامنة زينهامر، حتى في المتغيرات متعددة الخيوط، لا يحافظ على الاستقرار لفترة كافية لتشغيل الانعكاسات بشكل موثوق.
الحل هو تقنية المزامنة ذاتية التصحيح يستفيد هذا النهج من دورية التحديث: فهو لا يحتاج إلى اكتشاف كل أمر على حدة؛ بل يكتشف الأخطاء ويعيد تنظيم تنفيذ النمط لمواكبة ذلك، حتى في حالة تفويت التحديث في الوقت المناسب. يسمح هذا النهج بالحفاظ على التماسك عبر الآلاف من tREFI.
ولتوضيح التحسن، يشير الباحثون إلى أنه بفضل هذا التزامن القوي، يمكنهم الحفاظ على نمطهم في الوقت المناسب تمامًا مع الدورات الداخلية لـ TRR، وهو أمر لم تتمكن الطرق السابقة من تحقيقه دون الوقوع في الفارق بعد بضع مئات من الفواصل الزمنية.
من الناحية العملية، هذا الاستقرار هو ما يمكّن من التوسع من البداية إلى النهاية على الجهاز. سطح المكتب مع DDR5، بلغت ذروتها في الحصول على امتيازات الجذر باستخدام المعلمات الافتراضية في أوقات عدوانية تصل إلى 109 ثانية في عرضهم التوضيحي.
النتائج التجريبية: 15 وحدة ذاكرة DIMM معرضة للخطر وقابلة للاستغلال
قام الفريق بتقييم 15 وحدة DDR5 من SK Hynix صُنعت بين أواخر عام ٢٠٢١ وأواخر عام ٢٠٢٤. أظهرت جميعها تقلبات في البتات بأحد النمطين. نتج عن نمط tREFI القصير ١٢٨، في المتوسط، 2,62 × أكثر كفاءة من النوع الطويل، حيث ينتج ما يقرب من آلاف التقلبات لكل وحدة ذاكرة DIMM: تشير الورقة إلى متوسط تقريبي يبلغ 4989 تقلبات في اختباراتهم.
أصبحت هذه التقلبات بدائية حقيقية في ثلاثة سيناريوهات معروفة بالفعل: (أ) فساد اختبارات PTE قراءة/كتابة ذاكرة عشوائية (جميع وحدات DIMM المعرضة للخطر)؛ (ii) استخراج مفتاح RSA‑2048 من أجهزة افتراضية مشتركة لكسر SSH (على 73% من وحدات ذاكرة DIMM المعرضة للخطر)؛ و(ثالثًا) تعديل النظام الثنائي سودو لرفع الامتيازات المحلية (في 33% من وحدات ذاكرة DIMM المعرضة للخطر).
علاوة على ذلك، قام المؤلفون بتكرار تصعيد الامتيازات لوظيفة Rubicon لأول مرة في DDR5، مما يوضح متوسط أوقات الاستغلال لـ 5:19 في ظل ظروف اختبار خاضعة للرقابة، مما يعزز إمكانية تنفيذ الهجوم خارج المختبر عمليًا.
تم دعم الاختبار على نظام مزود بمعالج AMD Zen 4 ووحدات SK Hynix. ويخطط الفريق لتوسيع نطاق الاختبار ليشمل أنظمة أخرى. مصنعين والهندسة المعمارية لفهم النطاق الكامل؛ ومع ذلك، فإن التركيبة الحالية تمثل بالفعل بيئة سطح مكتب DDR5 الحديثة.
باعتبارها بيانات مخاطر مجمعة، تضع المقاييس المختلفة فينيكس في مستوى الخطورة المناسب: CVSS v4 7.1 (مرتفع) مع ناقل موثق؛ CVSS v3 5.5 (متوسط) مع المتجه AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N؛ وCVSS v2 2.1 (منخفض) مع المتجه AV:L/AC:L/Au:N/C:N/I:P/A:N. يُقدَّر EPSS المرتبط بـ 0.00014، مما يعكس احتمال الاستغلال الملحوظ في النظام البيئي، على الرغم من أن هذا الرقم يجب تفسيره مع التأثير الفني المؤكد.
التخفيفات وتكلفة الدفاع اليوم
كإجراء صدمة، يوصي الباحثون ثلاثي معدل التحديث (3x)، الذي أوقف تقلبات فينيكس على أنظمتهم. بما أن tREFI متوفر 1,3 μs، هذا التعديل يعني المزيد من عمليات التحديث، وبالتالي تكلفة أداء قابلة للقياس: في SPEC CPU2017، يبلغون ما يصل إلى 8,4% التحميل الزائد.
ويشيرون أيضًا إلى أن الموردين ومصنعي المعدات الأصلية لديهم رافعات فورية: تحديثات BIOS/البرامج الثابتة لتعديل سياسات الذاكرة أو تحديث المعلمات. في الواقع، أعلنت AMD خلال فترة الحظر عن توفر تحديث BIOS لأجهزة العميل، على الرغم من عدم تمكن المؤلفين من التحقق بشكل مستقل من مدى تخفيفه بشكل محدد. عنقاء.
هام: لا يُعدّ تصحيح ECC على الشريحة "درعًا سحريًا". ووفقًا للورقة البحثية، تسمح التصحيحات المؤجلة بتراكم التقلبات إذا استخدم المهاجم نمطًا يتجاوز مرشح TRR. لذلك، أوديسك لا يمنع، في حد ذاته، الهجوم من التقدم في DDR5 في ظل الظروف الموضحة.
بالنظر إلى المدى المتوسط، يحتاج القطاع إلى إجراءات تخفيف "مبدئية"، وليس استجابات مؤقتة لكل نمط جديد. حددت JEDEC إجراءات تخفيف "PRACs"، لكن المؤلفين وجوجل يشيرون إلى أن أنظمة DDR5 لا تتضمنها الاختبارات المُختَبَرة، مما يُتيح مجالًا للتهرب. قد يُحسّن نشر آليات عدّ الصفوف وسياسات التحديث التكيفية مستوى الأداء بشكل ملحوظ.
السياق: الهجمات الأخرى ودور خوادم ECC
لقد تراكمت لدى RowHammer أنواع مختلفة، كل منها يضغط على جانب مختلف من الدفاع. بالإضافة إلى TRRespass وSMASH وHalf-Double وBlacksmith، أظهرت الأبحاث الحديثة ون فليب (اقلب قليلاً لتغيير أوزان نموذج DNN والتسبب في سلوك غير مرغوب فيه) و فشل ECC (أول هجوم ناجح من البداية إلى النهاية ضد أجهزة خادم DDR4 ذات ذاكرة ECC، مما أدى إلى حدوث تقلبات في مواقع محددة تتجنب الكشف/التصحيح).
من الناحية النظرية، تتمتع الخوادم بحماية إضافية ضد تلف الذاكرة (مثل ECC للأشعة الكونية أو RowHammer)، ولكن ECC.fail أظهر أنه مع الحافز الصحيح، يمكنهم أيضًا منحتنضم Phoenix إلى هذه القائمة على واجهة DDR5 لسطح المكتب، مما يثبت أن التوازن بين الكثافة والأداء والمتانة هو خط رفيع.
حتى الشركات المصنعة والنظم البيئية الراسخة تأثرت بمثل هذه الأبحاث (على سبيل المثال، NVIDIA أو منصات DDR4)، وليس هذا من قبيل المصادفة: فمع اقتراب الترانزستورات والخلايا من بعضها البعض، تتداخل الكهربية والقنوات الجانبية ثغرات التي لم تكن موجودة من قبل.
إن التعلم واضح: يجب أن تتطور عمليات التخفيف مع الفيزياء الخاصة بالأجهزة، ودمجها القياس عن بعد والاستجابات الديناميكية التي تهرب من افتراضات أخذ العينات الثابتة، على وجه التحديد هي نقطة الضعف التي يستغلها فينيكس في DDR5 التي تم تقييمها.
الإفصاح المسؤول والتسلسل الزمني والموارد
بدأت ETH زيورخ عملية الإفصاح المسؤول عبر المركز الوطني السويسري للأمن الإلكتروني (NCSC) في 6 يونيو 2025، مُخطرًا شركة SK Hynix، ومصنعي وحدات المعالجة المركزية، وموفري الخدمات السحابية الرئيسيين. ظلّ الأمر محظورًا حتى 15 سبتمبر 2025. قبل ذلك بوقت قصير، في 12 سبتمبر، أعلنت AMD عن BIOS لأجهزة الكمبيوتر العميلة، دون التحقق المستقل من قبل المؤلفين.
سيتم عرض العمل الكامل في ندوة معهد مهندسي الكهرباء والإلكترونيات حول الأمن والخصوصية 2026إن الورقة والقطع الأثرية (بما في ذلك PoC وأدوات الاختبار) متاحة للعامة: يمكنك الرجوع إلى ملف PDF والمستودع لإعادة إنتاج الاختبارات وتقييم وحداتك في مختبر خاضع للرقابة.
روابط مفيدة: ورقة بصيغة PDF y مستودع فينيكس على GitHubكما نشرت جوجل أيضًا إدخالاً في مدونة الأمن مناقشة نطاق وأدوات الاختبار لـ DDR5.
تشير بطاقات الضعف إلى المصادر قلنسوة y NVDنُشر وحُدِّث في ١٥ سبتمبر ٢٠٢٥، تحت اسم فينيكس. يُمكِّن وسم CVE-15-2025 ومتجهاته فرق إدارة المخاطر من تحديد أولويات قرارات التخفيف وتخطيطها باستخدام معايير متسقة.
ملاحظات الشركة المصنعة والاعتبارات القانونية
نشرت AMD إخلاء مسؤولية يؤكد أن المعلومات الفنية قد تحتوي على عدم الدقةلا تقدم أي ضمانات، سواءً صريحة أو ضمنية، ولا تتحمل أي مسؤولية عن استخدام الأجهزة أو البرامج الموصوفة. كما تجدر الإشارة إلى أن AMD وEPYC وRyzen علامات تجارية مسجلة. ممتلكات للشركة، وأن اختصار CVE وشعارها ينتميان إلى شركة MITRE Corporation.
يذكر نفس الإشعار أن المحتوى المرتبط بطرف ثالث يتم تقديمه "كما هو" (AS IS) واستخدامه على مسؤولية القارئ. هذا النوع من إخلاء المسؤولية شائع في الوثائق الفنية ولا يؤثر على صحة النتائج ولكن من الجدير أن نضع ذلك في الاعتبار في عمليات النشر الإنتاجية والاتصالات المؤسسية.
ما يجب على المستخدمين والمسؤولين والمزودين فعله
إذا كنت تستخدم أجهزة SK Hynix DDR5، فإن الخطوة الأولى هي جرد راجع وحدات BIOS/البرامج الثابتة المتوفرة لمنصتك. قد تُصدر العديد من الشركات المصنعة للمعدات الأصلية تعديلات ترفع مستوى الأمان مع تطبيق إجراءات تخفيف أكثر شمولاً.
ثانيًا، قم بإجراء الاختبار في مختبر مغلق (ليس في الإنتاج أبدًا) لمعرفة مدى قابلية التعرض لقطع Phoenix العامة، خاصةً إذا كنت تقوم بتشغيل بيئات متعددة المستأجرين أو أحمال عمل حساسة (على سبيل المثال، مفتاح تتضمن أداة ETH/Google أدوات اختبار مصممة لذاكرة DDR5، مع توصيات صريحة للاستخدام المسؤول.
إذا أظهرت اختباراتك تقلبات، ففكر في تنشيط 3 × من الصودا في الأنظمة الأكثر أهمية، بافتراض تكلفة الأداء. في ظل الأحمال التي تسمح بها اتفاقية مستوى الخدمة (SLA)، قد تكون نسبة 8,4% المُقاسة بـ SPEC سعرًا معقولًا مقارنةً بإمكانية حدوث تصعيدات محلية أو تسريبات سرية بين المستأجرين.
في السحابة الخاصة أو البيئات التي تحتوي على أجهزة افتراضية مشتركة، قم بتشديد حدود الانجذاب والعزل، ويقلل من كشف الأسرار المهمة في الذاكرة عند الاشتباه في وجود تطابق غير موثوق. ويصاحب ذلك قواعد مراقبة واستجابة لأنماط الوصول الشاذة إلى الذاكرة.
وأخيرًا، ترقبوا المزيد من الأخبار المستقبلية التحديثات للمعيار (مثل PRAC) وعمل المصنّعين على دمج الحماية القائمة على عدّ الصفوف وسياسات التحديث التكيفية. يُظهر فينيكس أنه بدون هذه القفزة النوعية، ستستمر الصناعة في لعبة القط والفأر مع كل منتج جديد. الاختلاف من النمط.
على الرغم من أن المتجه الرئيسي محلي (AV:L في CVSS v3)، فإن التأثير على السلامة مرتفع ونافذة الاستغلال قصيرة، مع وجود دليل على التصعيد إلى الجذر وسرقة مفاتيح RSA‑2048 و معالجة من الثنائيات الحرجة. يُعدّ الجمع بين التحصين الفوري والاختبار المُتحكّم به ومراقبة التصحيحات الاستراتيجية الأكثر منطقية اليوم.
تسلط قضية فينيكس الضوء على مدى صغر حجم عدم التطابق في استراتيجية أخذ العينات TRR، يُمكن أن تُدمر دفاعات قوية نظريًا. بفضل المزامنة ذاتية التصحيح، وأنماط tREFI 128 و2608، وتوازي البنوك، ومحاذاة التحديث الدقيقة (إزاحتان فقط من أصل 2 صحيحة، مما يرفع الاحتمال إلى 128% عند استغلال أربعة بنوك في آنٍ واحد)، يُؤكد هذا الهجوم أن DDR25 ليس ملاذًا آمنًا افتراضيًا ضد RowHammer. بين قوة النتائج التجريبية، وإمكانية الاستغلال الشامل في دقائق، والتكلفة المعقولة للتخفيفات المؤقتة (5 مرات تحديث)، فإن الرسالة الموجهة إلى الفرق الفنية واضحة: من الجدير التحرك الآن، دون انتظار حلول مثالية، مع دفع الصناعة إلى دمج دفاعات... بداية مثل PRAC وسياسات التحديث الجديدة الأكثر ذكاءً.
