Uma equipa de investigadores académicos da Universidade ETH de Zurique e da Google descobriu uma nova e perigosa variante de um ataque conhecido como Rowhammer, batizada de Phoenix. Esta nova técnica consegue contornar os mais recentes mecanismos de proteção em chips de memória DDR5, permitindo a um atacante obter controlo total de um sistema em menos de dois minutos.
O ataque foi testado com sucesso em produtos da SK Hynix, um dos maiores fabricantes de chips de memória do mundo, mas o risco pode estender-se a produtos de outras marcas, representando uma séria ameaça à segurança de milhões de computadores.
O que é o Rowhammer e porque é que o Phoenix é tão perigoso?
O ataque Rowhammer funciona através do acesso repetido e a alta velocidade a linhas específicas de células de memória, uma técnica conhecida como "martelar". Esta ação gera interferência elétrica suficiente para alterar o valor dos bits em células de memória adjacentes (um processo chamado bit flipping), corrompendo dados e abrindo a porta a vulnerabilidades.
Para combater este problema, foi desenvolvido um mecanismo de defesa chamado Target Row Refresh (TRR), que deteta acessos frequentes a uma determinada linha e emite um comando de atualização extra para prevenir a alteração de bits. No entanto, o Phoenix demonstrou ser capaz de iludir esta proteção, tornando vulneráveis os modernos módulos de memória RAM DDR5 que deveriam estar imunes a este tipo de ataque.
Como funciona o ataque Phoenix?
A equipa de investigadores da ETH de Zurique, em colaboração com a Google, realizou um processo de engenharia inversa às complexas proteções implementadas pela Hynix. Durante esta análise, descobriram que certos intervalos de atualização da memória não eram monitorizados pela mitigação TRR, criando uma janela de oportunidade para a exploração.
O Phoenix utiliza padrões de ataque que abrangem 128 e 2608 intervalos de atualização, martelando apenas em momentos precisos para evitar a deteção. Além disso, os investigadores desenvolveram um método que permite ao ataque sincronizar-se com milhares de operações de atualização, corrigindo-se automaticamente caso falhe uma delas.
As consequências na prática: mais do que uma prova de conceito
Utilizando o seu modelo, os investigadores conseguiram provocar bit flips em todos os 15 chips de memória DDR5 testados. Numa das demonstrações, foi possível obter acesso de administrador (root) a um sistema DDR5 com as configurações padrão em menos de dois minutos.
As explorações práticas foram ainda mais longe. Os testes mostraram que todos os produtos analisados eram vulneráveis a ataques que visam as entradas da tabela de páginas (PTEs) para ler e escrever dados em qualquer zona da memória. Noutra avaliação, conseguiram quebrar a autenticação SSH ao atacar chaves RSA-2048 de uma máquina virtual, com 73% dos módulos a revelarem-se vulneráveis. Por fim, em 33% dos chips testados, foi possível alterar o binário do comando sudo para escalar privilégios locais para o nível de root.
Quem está em risco e como se pode proteger?
A vulnerabilidade, registada como CVE-2025-6202 e classificada como de alta gravidade, afeta todos os módulos de RAM DIMM produzidos entre janeiro de 2021 e dezembro de 2024. Embora os testes se tenham focado na SK Hynix, que detém cerca de 36% do mercado, é provável que outros fabricantes também sejam afetados.
Atualmente, não existe uma correção definitiva para os módulos de memória existentes. A única mitigação sugerida é triplicar o intervalo de atualização da DRAM (tREFI). No entanto, esta medida pode causar instabilidade no sistema, erros ou corrupção de dados, não sendo uma solução viável para a maioria dos utilizadores.
Um artigo técnico detalhado, intitulado "Phoenix: Rowhammer Attacks on DDR5 with Self-Correcting Synchronization", já foi publicado. A equipa também partilhou um repositório no GitHub com os recursos necessários para reproduzir o ataque.
Nenhum comentário
Seja o primeiro!