スイス連邦工科大学チューリッヒ校(ETH Zurich)とGoogleのセキュリティ研究者グループが、DDR5に対する実用的なRowhammer攻撃を実証しました。
この攻撃はPhoenixと名付けられ、CVE-2025-6202として追跡されています。DDR5 Rowhammer攻撃は、最大手DRAMメーカーであるSK Hynixの15台のデバイスに対して有効であることが判明しました。
Rowhammer攻撃の一環として、DRAMメモリの行を繰り返しアクセスすることで、隣接領域に電気的干渉を引き起こし、ビット反転を発生させます。これにより、特権昇格、データ破損、データ漏洩、仮想環境におけるメモリ分離の破壊などが引き起こされる可能性があります。
CPUおよびCPUベースのメモリを標的としたRowhammer攻撃が知られるようになってから10年以上が経過しましたが、今年、トロント大学の研究者グループがGPUに対してもこのような攻撃が可能かつ実用的であることを実証しました。
新たに考案されたPhoenix攻撃は、Rowhammer攻撃を防ぐために設計されたより高度なDRAM内ターゲット行リフレッシュ(TRR)機構を備えているにもかかわらず、DDR5も脆弱であることを示しています。
これを証明するために、ETH Zurichの4人の研究者とGoogleの2人の研究者がDDR5のTRR方式をリバースエンジニアリングし、成功する攻撃には「数千回のリフレッシュ操作を正確に追跡する必要がある」ことを発見しました。
彼らの論文(PDF)では、DDR5に備わっている保護機構を回避するには、はるかに長いRowhammerパターンが必要であり、これらのパターンは数千回のリフレッシュコマンドと同期し続ける必要があると説明しています。
しかしPhoenixは、リフレッシュ操作の見逃しを検出した際にパターンを再同期するよう設計されており、これによりビット反転を引き起こし、研究者たちは一般的なDDR5システムのデフォルト設定で特権昇格エクスプロイトを作成し、root権限を取得することに成功しました。
広告。スクロールして続きをお読みください。
「私たちはSK Hynix製の15枚のDDR5 DIMMでPhoenixを評価し、すべてでビット反転を引き起こせることを示しました。また、ビット反転が悪用可能であることを、PCのデフォルト設定で動作する初のRowhammer特権昇格エクスプロイトをわずか109秒で構築することで実証しました」と研究者たちは述べています。
研究者たちは、実装された緩和策のリバースエンジニアリングに多大な労力が必要なため、SK Hynix製デバイスに限定して調査を行ったとし、他メーカーのDDR5デバイスもRowhammer攻撃から保護されているとは限らないと指摘しています。
リフレッシュレートを3倍にすると、Phoenixによるビット反転は防げるものの、8.4%のオーバーヘッドが発生すると研究者たちは述べています。より本質的な対策として、行ごとのアクティベーションカウンターなどがRowhammer攻撃を完全に防ぐはずだとしています。
Phoenixは6月初旬にSK Hynix、CPUベンダー、大手クラウドプロバイダーに開示されました。先週、AMDはクライアントマシン向けにCVE-2025-6202へ対応するBIOSアップデートをリリースしたと研究者たちは述べています。
関連記事: VMScape:研究者が新たなSpectre攻撃でクラウドの分離を突破
関連記事: AIシステム、画像スケーリング攻撃によるプロンプトインジェクションに脆弱
翻訳元: https://www.securityweek.com/rowhammer-attack-demonstrated-against-ddr5/