- Phoenix (CVE-2025-6202) обходит TRR и встроенную ECC на SK Hynix DDR5, получая права root за считанные минуты.
- Два шаблона (128 и 2608 tREFI) и самокорректирующаяся синхронизация используют слепое пятно в выборке TRR.
- Протестировано 15 модулей DIMM: тысячи переворотов, атаки PTE, кража RSA-2048 и эскалация sudo.
- Временное смягчение: 3-кратное обновление (≈8,4% стоимости); коммунальные приборы и координация с производителями.
Сообщество специалистов по безопасности и аппаратному обеспечению снова обращает внимание на основную память: новая атака типа RowHammer, получившая название Феникс (CVE-2025-6202), демонстрирует, что некоторые модули памяти SK Hynix DDR5 остаются уязвимыми, несмотря на расширенные средства защиты. Совместное исследование Швейцарской высшей технической школы Цюриха и Google показывает, что с помощью воспроизводимого тестирования повышение привилегий до уровня root на настольных компьютерах с настройками по умолчанию возможно за считанные минуты. протокол.
Помимо заголовка, важно то, что исследователи точно описали, почему защита, встроенная в DRAM (TRR), не срабатывает и как им удалось её обойти. Они задокументировали новые паттерны срабатывания, самокорректирующиеся тайминги обновления и реальные условия эксплуатации, которые влияют на локальные и многопользовательские средыВсе это сопровождается публичными артефактами и ответственной координацией с производителями и поставщиками облачных услуг.
Что такое RowHammer и почему он снова набирает популярность?
RowHammer — это аппаратная уязвимость DRAM, при которой повторный доступ к строке может привести к бит переворачивается в соседних строках, что приводит к повреждению данных. С момента первой демонстрации в 2014 году было замечено, что по мере увеличения плотности ячеек для увеличения ёмкости увеличивается количество активаций, необходимых для инвертирования бита. уменьшить, увеличивая риск.
Практические последствия хорошо известны: повреждение критически важных системных структур, эскалация привилегий или отказ в обслуживании. Предыдущие исследования показали, что уязвимость зависит от множества факторов, включая температура, напряжение, производственные изменения, шаблоны сохраненных данных, шаблоны доступа к памяти и политики контроллера.
Для сдерживания этой проблемы были предложены такие методы, как код коррекции ошибок (ECC) и обновление целевой строки (TRR). Однако последующие исследования показали, что эти средства защиты можно обойти с помощью более сложных атак: TRRespass, SMASH, Half-Double или Blacksmith, среди прочих. Эффекты были замечены даже в, казалось бы, совершенно разных областях, таких как дактилоскопия устройств через производные варианты.
Параллельно с этим организация JEDEC недавно представила механизм контроля целостности под названием Per-Row Activation Counting (PRAC) для обнаружения шаблонов RowHammer и ограничения агрессивного трафика. Однако, по данным Google, протестированные системы DDR5 не поддерживали PRAC, что открывает возможности для новых методов эксплуатации. в производстве.
Phoenix (CVE-2025-6202): кто его обнаружил и что он делает
Совместная группа специалистов из ETH Zürich (COMSEC) и Google выявила слепая точка о встроенной защите памяти DDR5 TRR от SK Hynix. Phoenix впервые добился сквозного повышения привилегий на потребительском ПК со стандартной памятью DDR5, получив права root с настройками по умолчанию всего за 109 секунд в наиболее благоприятном случае и при среднем практическом времени эксплуатации 5 минут и 19 секунд в некоторых демонстрациях.
Исследование было протестировано на системе с процессором AMD Zen 4 и модули SK Hynix DDR5, с целью последующего воспроизведения этой атаки на других модулях памяти и процессорах. Результаты затронули 15 модулей, выпущенных в период с 2021 по 2024 год: все представленные биты переворачиваются в соответствии с одним из двух новых шаблонов, разработанных командой. Атака была классифицирована как CVE-2025-6202 и имеет высокую степень серьезности в CVSS v4 (7.1), при этом значения и векторы задокументированы в таких источниках, как Mitre и NVD.
Важный факт: на кристалле ECC не предотвращает RowHammer в DDR5. Авторы показывают, что перевороты могут накапливаться со временем, поскольку встроенная система ECC корректирует ошибки во время записи или с помощью периодических корректировок (например, каждые 24 часа). Более длительное использование RowHammer с соответствующей частотой позволяет обойти этот уровень защиты.
Возможности эксплуатации варьируются от изменения таблицы страниц для получения произвольного доступа на чтение/запись, вплоть до извлечения ключей RSA‑2048 из совместно расположенных виртуальных машин (нарушая аутентификацию SSH) или манипулирования двоичными файлами, такими как Sudo для повышения локальных привилегий. Таким образом, мы сталкиваемся со сценарием, который затрагивает как рабочие станции, так и общие инфраструктуры.
Как они добились обхода: TRR, периоды выборки и новые модели
Суть открытия заключается в том, разобрать механизм с целью понять, как это работает смягчения последствий TRR в DRAM. В ходе экспериментов на ПЛИС, используя ошибки сохранения в качестве побочного канала, исследователи наблюдали, что система выборки TRR повторяет свой период каждые 128 интервалов tREFI, диапазон в 8 раз шире, чем тот, который предусмотрен классическими паттернами RowHammer.
При «увеличении масштаба» исследование показывает, что в последних 64 интервалах этого цикла существует повторяющаяся подструктура из четырех подинтервалов, где первые два из них являются выборками. немного или почти ничего. Эта асимметрия оставляет окно возможностей: если удары попадают в эти «слабо опробованные» зоны, защита не обнаруживают агрессивная деятельность во времени.
Используя эту подсказку, команда вывела две долгосрочные модели. Первая охватывает только 128 тРЕФИ; избегайте хаммеринга в начале и сосредоточьте активность в диапазонах с низкой частотой дискретизации, повторяя вторую часть 16 раз, чтобы накопить 32 эффективных хаммеринговых интервала за повторение. Вторая часть охватывает гораздо более длинный паттерн 2608 тРЕФИ, предназначенный для других устройств с внутренними отличиями.
Время имеет решающее значение: только 2 из 128 Смещения обновления уязвимы, давая начальную вероятность попадания 1,56%. Чтобы увеличить свои шансы, они запускают одну и ту же последовательность смещений параллельно на каждом из четырёх банков, увеличивая вероятность попадания в правильное смещение на 16, вплоть до примерно 25%..
Самокорректирующаяся синхронизация: гигантский шаг вперед по сравнению с предыдущими попытками
Ключевой задачей было сохранение согласованности с прохладительные напитки на протяжении тысяч интервалов, поскольку паттерны Phoenix на 1-2 порядка больше типичных паттернов. Авторы обнаружили, что процедура синхронизации Zenhammer, даже в многопоточном варианте, не сохраняет стабильность достаточно долго для надёжного срабатывания флипов.
Решение — это метод самокорректирующаяся синхронизация который использует преимущества периодичности обновления: ему не нужно отслеживать каждую команду; вместо этого он обнаруживает несоответствия и перестраивает выполнение шаблона, чтобы поддерживать темп, даже если своевременное обновление пропущено. Такой подход позволяет поддерживать согласованность в тысячах tREFI.
Чтобы проиллюстрировать улучшение, исследователи отмечают, что благодаря этой надежной синхронизации они могут поддерживать свой шаблон в идеальном соответствии с внутренними циклами TRR, чего предыдущие методы не могли достичь, не попадая в разрыв через несколько сотен интервалов.
На практике именно эта стабильность обеспечивает сквозное масштабирование на машине. рабочий стол с DDR5, достигая кульминации в привилегиях root с параметрами по умолчанию за столь агрессивное время, как 109 секунд в их демонстрации.
Результаты эксперимента: 15 уязвимых модулей DIMM и эксплуатируемые перевороты
Команда оценила 15 модулей DDR5 от SK Hynix произведённых в период с конца 2021 года по конец 2024 года. Все показали переворот бита по одному из двух шаблонов. Короткий шаблон 128 tREFI в среднем показал 2,62 × более эффективен, чем длинный, обеспечивая порядка тысяч переворотов на DIMM: в статье приводится приблизительное среднее значение 4989 переворотов в ваших тестах.
Эти перевороты стали настоящими примитивами в трех уже известных сценариях: (i) коррупция PTE-ы для чтения/записи произвольной памяти (все уязвимые модули DIMM); (ii) извлечение ключа RSA-2048 из совместно размещенных виртуальных машин для взлома SSH (на 73%. уязвимых модулей DIMM); и (iii) модификация двоичного кода Sudo для повышения локальных привилегий (в 33% уязвимых модулей DIMM).
Кроме того, авторы впервые воспроизводят в DDR5 повышение привилегий задания Rubicon, показывая среднее время эксплуатации 5:19 в контролируемых условиях испытаний, подтверждающих практическую возможность проведения атаки за пределами лаборатории.
Тестирование проводилось на системе с процессором AMD Zen 4 и модулями SK Hynix. Команда планирует расширить тестирование на другие системы. производители и архитектуры, чтобы понять весь спектр возможностей; однако текущая комбинация уже является репрезентативной для современной настольной среды DDR5.
В качестве совокупных данных о риске различные показатели классифицируют Phoenix по степени серьезности: CVSS v4 7.1 (высокий) с документированным вектором; CVSS v3 5.5 (средний) с вектором AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N; и CVSS v2 2.1 (Низкий) с вектором AV:L/AC:L/Au:N/C:N/I:P/A:N. Соответствующий EPSS оценивается как 0.00014, отражая вероятность эксплуатации, наблюдаемую в экосистеме, хотя этот показатель следует интерпретировать вместе с доказанным техническим воздействием.
Смягчение последствий и стоимость защиты сегодня
В качестве шоковой меры исследователи рекомендуют тройной частота обновления (3x), которая на их системах предотвращала перевороты Phoenix. Поскольку tREFI составляет около 1,3 мкс, эта корректировка подразумевает больше операций обновления и, следовательно, измеримые затраты производительности: в SPEC CPU2017 они сообщают о 8,4%. от перегрузки.
Они также отмечают, что у поставщиков и производителей оригинального оборудования есть непосредственные рычаги воздействия: Обновления BIOS/прошивки для настройки политик памяти или параметров обновления. Фактически, в период действия эмбарго AMD объявила о доступности обновления BIOS для клиентских компьютеров, хотя авторы не смогли независимо проверить, насколько оно конкретно снижает риски. Феникс.
Важно: встроенная система ECC не является «магическим щитом». Согласно статье, отложенные исправления позволяют накапливать флипы, если атакующий наносит удары молотком с шаблоном, проходящим через фильтр TRR. Следовательно, ОДЕКК само по себе не предотвращает развитие атаки в DDR5 в описанных условиях.
В среднесрочной перспективе сектору необходимы «принципиальные» меры по смягчению последствий, а не ситуативные меры реагирования на каждую новую ситуацию. JEDEC определила критерии PRAC, но авторы и Google отмечают, что Системы DDR5 Протестированные версии не включают его, что оставляет простор для уклонения. Более широкое внедрение механизмов подсчёта строк и адаптивных политик обновления может значительно повысить планку.
Контекст: Другие атаки и роль серверов ECC
RowHammer накапливает варианты, каждый из которых оказывает давление на разные фланги обороны. Помимо TRRespass, SMASH, Half-Double и Blacksmith, недавние исследования показали, OneFlip (немного переверните, чтобы изменить веса модели DNN и вызвать нежелательное поведение) и ECC.fail (первая успешная сквозная атака на серверные машины DDR4 с памятью ECC, вызывающая перевороты в определенных местах, которые невозможно обнаружить/исправить).
Теоретически серверы имеют дополнительную защиту от повреждения памяти (например, ECC для космических лучей или RowHammer), но ECC.fail показал, что при правильном стимуле они также могут датьPhoenix присоединяется к этому списку в сегменте настольных модулей памяти DDR5, доказывая, что баланс между плотностью, производительностью и надежностью — это тонкая грань.
Даже устоявшиеся производители и экосистемы пострадали от таких исследований (например, Nvidia или платформы DDR4), и это не совпадение: по мере того, как транзисторы и ячейки становятся ближе друг к другу, возникают электрические помехи и побочные каналы. лазейки чего раньше не было.
Вывод ясен: меры по снижению рисков должны развиваться вместе с физикой оборудования, интегрируясь телеметрия и динамические отклики, которые выходят за рамки предположений о статической выборке, а именно ахиллесова пята, которую Phoenix использует при оценке DDR5.
Ответственное раскрытие информации, хронология и ресурсы
ETH Zurich инициировал процесс ответственное раскрытие информации 6 июня 2025 года через Швейцарский центр по ценным бумагам и биржам (NCSC) было направлено уведомление SK Hynix, производителям процессоров и крупным облачным провайдерам. Вопрос оставался под эмбарго до 15 сентября 2025 года. Незадолго до этого, 12 сентября, AMD сообщила о… BIOS для клиентских компьютеров, без независимой проверки авторами.
Полная версия работы будет представлена на Симпозиум IEEE по безопасности и конфиденциальности 2026 г.Документация и артефакты (включая PoC и инструменты тестирования) находятся в открытом доступе: вы можете обратиться к PDF-файлу и репозиторию, чтобы воспроизвести тесты и оценить свои модули в контролируемой лаборатории.
Полезные ссылки: статья в формате PDF y Репозиторий Phoenix на GitHub. Google также опубликовал запись в своем Блог безопасности обсуждение области применения и инструментов тестирования DDR5.
Карты уязвимостей указывают в качестве источников митра y NVD, опубликовано и обновлено 15 сентября 2025 года под именем Phoenix. Тег CVE-2025-6202 и его векторы позволяют группам управления рисками расставлять приоритеты и планировать решения по смягчению последствий, используя согласованные критерии.
Примечания производителя и юридические соображения
AMD опубликовала заявление об отказе от ответственности, в котором подчеркивается, что техническая информация может содержать неточности, не предоставляет никаких гарантий, явных или подразумеваемых, и не несет ответственности за использование описанного оборудования или программного обеспечения. Также обратите внимание, что бренды AMD, EPYC и Ryzen собственность компании, а аббревиатура CVE и ее логотип принадлежат корпорации MITRE.
В том же уведомлении говорится, что связанный сторонний контент предоставляется «как есть» (КАК ЕСТЬ) и его использование осуществляется на страх и риск читателя. Этот тип отказа от ответственности часто встречается в технической документации и не влияет на действительность Выводы академики, но об этом стоит помнить при продуктивном развертывании и корпоративных коммуникациях.
Что должны делать пользователи, администраторы и поставщики
Если вы используете машины SK Hynix DDR5, первый шаг — инвентарь Проверьте модули и версии BIOS/прошивок, доступные для вашей платформы. Многие OEM-производители могут выпускать обновления, повышающие порог безопасности, одновременно внедряя более глубокие меры защиты.
Во-вторых, проведите тестирование в закрытой лаборатории (никогда не в производственной среде) на восприимчивость к публичным артефактам Phoenix, особенно если вы работаете в многопользовательских средах или с чувствительными рабочими нагрузками (например, ключи Криптографическая память). Инструмент ETH/Google включает в себя тестовые утилиты, разработанные для DDR5, с подробными рекомендациями по ответственному использованию.
Если ваши тесты показывают перевороты, рассмотрите возможность активации 3× газировки В наиболее критических системах, учитывая затраты на производительность. При нагрузках, допускаемых соглашением об уровне обслуживания (SLA), эти 8,4%, измеренные в SPEC, могут быть разумной ценой по сравнению с возможностью локальных эскалаций или скрытых утечек между арендаторами.
В частном облаке или средах с размещенными виртуальными машинами ужесточайте ограничения сродство и изоляции, а также минимизирует раскрытие важных секретных данных в памяти при подозрении на недоверенное совместное размещение. Это сопровождается правилами мониторинга и реагирования на аномальные паттерны доступа к памяти.
Наконец, оставайтесь с нами для будущих новостей. обновления стандарта (например, PRAC) и работы производителей по интеграции защиты, основанной на подсчёте строк и адаптивных политиках обновления. Phoenix демонстрирует, что без этого качественного скачка отрасль продолжит играть в кошки-мышки с каждым новым вариация узора.
Хотя основной вектор является локальным (AV:L в CVSS v3), воздействие на целостность велико, а окно эксплуатации короткое, с доказательствами эскалации до уровня root, кражи ключей RSA-2048 и обработка критически важных двоичных файлов. Сочетание немедленного усиления защиты, контролируемого тестирования и мониторинга исправлений на сегодняшний день является наиболее разумной стратегией.
Дело Феникса подчеркивает, насколько малы несоответствия В стратегии выборки TRR может разрушить теоретически надёжную защиту. Благодаря самокорректирующейся синхронизации, шаблонам tREFI 128 и 2608, распараллеливанию банков и тщательному выравниванию обновления (только 2 из 128 смещений являются допустимыми, что повышает вероятность до 25% при одновременной эксплуатации четырёх банков), эта атака подтверждает, что DDR5 по умолчанию не является безопасной гаванью против RowHammer. Учитывая эффективность экспериментальных результатов, возможность сквозной эксплуатации за считанные минуты и доступную стоимость временных мер (3-кратное обновление), технический отдел получает чёткий сигнал: стоит действовать сейчас, не дожидаясь идеальных решений, одновременно подталкивая отрасль к интеграции защиты. начало такие как PRAC и новые, более интеллектуальные политики обновления.
