Bilim insanları tarafından geliştirilen ve 'Phoenix' adı verilen yeni bir saldırı yöntemi, günümüzün en gelişmiş bellek teknolojisi olan DDR5'in güvenlik duvarlarını aşıyor. Yapılan araştırmalar, bu saldırının bellek modüllerinde veri bozulmalarına (bit-flip) yol açarak yüksek seviyede yetki yükseltme gibi ciddi güvenlik açıklarına neden olabileceğini gösteriyor. Phoenix saldırısı, DDR5'in Rowhammer benzeri saldırılara karşı aldığı önlemleri ve hatta ECC (Error Correcting Code) ile ODECC (On-Die ECC) gibi hata düzeltme teknolojilerini bile etkisiz hale getirmeyi başarıyor.
Geliştirilen bu saldırı, özellikle SK hynix marka DDR5 bellek modülleri üzerinde test edildi. Araştırmacılar, saldırının etkilerini bir AMD Zen 4 işlemcili platformda gözlemlediler. Elde edilen sonuçlar, bellek güvenliğinde yeni bir dönemin başladığını işaret ediyor. Bu araştırmanın, bellek standartlarını belirleyen JEDEC kuruluşu ile iş birliği içinde yürütülen ve RAM güvenliğini artırmayı hedefleyen daha büyük bir çabanın parçası olduğu belirtiliyor.
Phoenix, bilinen Rowhammer saldırılarını temel alarak geliştirilmiş bir yöntem. Bu saldırı türünde, belirli bellek adresleri sürekli olarak okunarak elektromanyetik etkileşim yoluyla bir veya daha fazla bitin değişmesi hedefleniyor. Bu durum, saldırganların hassas verilere erişmesine veya kodu kendi çıkarları doğrultusunda değiştirmesine olanak tanıyor. Bu tür saldırılar masaüstü bilgisayarlar için endişe vericiyken, binlerce kullanıcıya hizmet veren büyük sunucu sistemleri için çok daha büyük riskler taşıyor.
Yapılan testlerde, Phoenix saldırısının Sayfa Tablosu Girdilerini (PTE) manipüle ederek erişimi engellenmiş bellek alanlarına ulaşma konusunda %100'lük bir başarı oranına sahip olduğu görüldü. Ayrıca, aynı sunucudaki bir sanal makineden SSH giriş anahtarlarını çıkarma şansı %73 iken, doğrudan 'sudo' komutunun bellek içindeki binary'sini manipüle ederek kök (root) erişimi elde etme olasılığı %33 olarak ölçüldü. Hatta yetki yükseltme senaryoları 5 dakikadan kısa sürede başarıyla tekrarlanabildi.
Bu güvenlik açığının şu an için kesin bir çözümü bulunmuyor. Ancak araştırmacılar, bellek yenileme oranının (tREFI) üç katına çıkarılmasının saldırıların başarı olasılığını düşürebileceğini belirtiyorlar. Bu ayar, sistemin UEFI ayarlarından yapılandırılabilir. Fakat bu durumun, sistem performansında %8.4 gibi kayda değer bir düşüşe yol açabileceği de yapılan benchmark testlerinde ortaya kondu. AMD işlemcili sistemler için yakında bir BIOS güncellemesi yayınlanacağı bilgisi paylaşıldı, ancak bu güncellemenin etkinliği henüz doğrulanabilmiş değil.
Phoenix saldırısının, mevcut DDR5 belleklerde bulunan TRR (Target Row Refresh) ve ECC/ODECC mekanizmalarının neden tam olarak etkili olamadığını da ortaya koyuyor. Örneğin TRR, bir bellek satırının kaç kez okunup yenilendiğini tam olarak takip etmediği için saldırıların tetiklenmesini kolaylaştırıyor. ODECC ise yalnızca veri yazılırken veya uzun süreler (saatler) sonra oluşan bit hatalarını düzeltebiliyor. Bu durum, saldırıların uzun süre devam etmesi halinde sistemlerin savunmasız kalabileceği anlamına geliyor.
Bu gelişmelerin bir sonucu olarak, JEDEC tarafından Nisan 2024'te duyurulan PRAC (Per-Row Activation Counting) standardı, gelecekteki DDR5 sürümlerinde yer alacak. PRAC, bir bellek satırına yapılan ardışık erişimleri hassas bir şekilde sayacak ve belirlenen limiti aştığında sistem anında uyarılacak. Böylece gerekli önlemler alınabilecek. Yeni nesil LPDDR6 standardında da PRAC teknolojisinin entegre edileceği belirtiliyor. Bu yeni standardın, Rowhammer saldırılarına karşı daha güçlü bir koruma sağlaması bekleniyor.
