Root за 2 минуты: новая атака даёт полный доступ на компьютере с DDR5

Специалисты COMSEC совместно с инженерами Google обнаружили новый вариант атаки Rowhammer , способный обойти защиту в современных модулях DDR5 производства SK Hynix — уязвимость получила идентификатор CVE-2025-6202 . Специалисты показали метод под названием Phoenix, который выманивает пропуски в механизме целевого обновления строк памяти и синхронизируется с тысячами циклов обновления, чтобы вызывать нежелательные изменения битов в микросхемах.

Rowhammer действует через многократные обращения к соседним строкам памяти, создавая электрические наводки и меняя значения битов — это даёт злоумышленнику шанс повредить данные, повысить привилегии или выполнить произвольный код. Производитель реализовал механизм Target Row Refresh (TRR), который выходит за рамки стандартных циклов и добавляет дополнительные обновления при подозрительной активности, но авторы Phoenix изучили внутренности реализации Hynix и нашли интервалы обновления, которые не отслеживаются защитой. Чтобы компенсировать пропущенные события, Phoenix использует самокорректирующийся механизм синхронизации и точечные шаблоны «ударов» по строкам памяти, охватывающие 128 и 2608 интервалов обновления, сжатые до конкретных слотов активации.

На испытаниях уязвимость проявилась на всех протестированных 15 модулях DDR5 от Hynix — короткий шаблон в 128 интервалов оказался более эффективным и давал больше перевёрнутых битов в среднем. Злоумышленникам потребовалось менее 2 минут, чтобы получить root-права на «товарном» комплекте DDR5 с настройками по умолчанию. Исследователи также смоделировали практические сценарии: при атаке на записи таблицы страниц (page-table entries, PTE) все проверенные продукты оказались уязвимы, при попытке компрометации RSA-2048 ключей соседней виртуальной машины 73% DIMM-модулей позволяли подслушать данные, а модификация бинарника sudo для повышения локальных привилегий сработала на 33% чипов.

Команда подчёркивает, что уязвимость затрагивает модули, произведённые в период с января 2021 по декабрь 2024 года, и относится к проблемам, присущим архитектуре DRAM , которые нельзя полностью устранить для уже выпущенных плат. Временным способом защиты предложено тройное увеличение интервала обновления DRAM (tREFI), однако такое решение повышает риск нестабильности и ошибок в системе. Техническая статья опубликована и будет представлена на грядущем IEEE Symposium on Security and Privacy, а репозиторий с материалами для воспроизведения экспериментов и PoC-кодом доступен на GitHub.