Cyber Security UP

Phoenix colpisce DDR5: In 109 secondi, la nuova minaccia hardware supera tutte le difese RowHammer

Il mondo della sicurezza informatica si trova di fronte a una nuova e preoccupante evoluzione: Phoenix, una variante avanzata dell’attacco RowHammer, è riuscita a bypassare le protezioni più sofisticate delle memorie DDR5 in appena 109 secondi. Questo attacco è stato scoperto da un team di ricercatori di ETH Zürich e Google, che hanno dimostrato come le difese implementate nei chip DDR5, prodotti da SK Hynix, non siano sufficienti a fermare questa minaccia hardware.

RowHammer: la vulnerabilità hardware

RowHammer è una vulnerabilità hardware nota dal 2014, che consiste nell’indurre flip di bit in celle di memoria adiacenti tramite accessi ripetuti alla stessa riga di DRAM. Questi cambiamenti possono corrompere i dati, permettendo agli attaccanti di ottenere accesso non autorizzato, aumentare i privilegi o compromettere la stabilità del sistema. Nonostante i produttori abbiano introdotto soluzioni come ECC (Error Correction Code) e TRR (Target Row Refresh), Phoenix è riuscito a eludere anche queste misure di sicurezza.

Impatto e modalità dell’attacco Phoenix

I ricercatori hanno dimostrato che, sfruttando questa vulnerabilità, è possibile eseguire un’escalation di privilegi e ottenere accesso root su sistemi desktop con DDR5 e impostazioni di default in meno di due minuti. L’attacco sfrutta il fatto che le attuali misure di mitigazione non coprono alcuni intervalli di refresh, consentendo così il flip dei bit su tutti i 15 chip DDR5 testati, prodotti tra il 2021 e il 2024.

Conseguenze pratiche e rischi

Le conseguenze pratiche di Phoenix sono gravi: è possibile colpire chiavi RSA-2048 di macchine virtuali co-locate per compromettere l’autenticazione SSH, o usare il binario sudo per ottenere privilegi di root locali. Questo espone milioni di dispositivi e server a rischi concreti di violazione dei dati e compromissione dei sistemi.

Soluzioni e scenari futuri

Gli studiosi sottolineano che, trattandosi di una vulnerabilità hardware, i dispositivi già in uso non possono essere aggiornati. L’unica soluzione efficace verificata è l’aumento del refresh rate della memoria fino a tre volte rispetto ai valori standard, che ha impedito a Phoenix di produrre flip di bit nei test.

Questa scoperta arriva poco dopo la pubblicazione di altri attacchi RowHammer come OneFlip ed ECC.fail, che dimostrano come anche server con memoria ECC possano essere compromessi. Il panorama della sicurezza hardware si sta quindi facendo sempre più complesso, richiedendo soluzioni innovative e una continua attenzione da parte di chi si occupa di protezione dei dati e infrastrutture IT.