Uma equipe de pesquisadores da ETH Zürich e da Google descobriu uma nova variante do ataque RowHammer que atinge chips de memória Double Data Rate 5 (DDR5) produzidos pela fabricante sul-coreana SK Hynix.
Batizada de Phoenix (
CVE-2025-6202
, com pontuação CVSS de 7.1), essa variante do RowHammer consegue contornar mecanismos de proteção avançados desenvolvidos para impedir esse tipo de ataque.
Segundo a ETH Zürich, "provamos que é possível disparar de forma confiável bit flips do RowHammer em dispositivos DDR5 da SK Hynix em maior escala” e que “a correção de erros on-die ECC não é suficiente para bloquear o RowHammer; ataques de ponta a ponta ainda são viáveis no DDR5.”
O RowHammer é uma vulnerabilidade de hardware onde acessos repetidos a uma linha (row) da memória DRAM causam bit flips em linhas adjacentes, resultando em corrupção de dados.
Esse comportamento pode ser explorado por agentes mal-intencionados para acessar dados sem autorização, escalar privilégios e até provocar negação de serviço (DoS).
Apesar de ter sido demonstrado pela primeira vez em 2014, os novos chips DRAM tendem a ser ainda mais suscetíveis ao RowHammer, já que os fabricantes apostam na redução do tamanho dos transistores para aumentar a capacidade da memória.
Um estudo publicado pela ETH Zürich em 2020 mostrou que “chips DRAM mais recentes são mais vulneráveis ao RowHammer: à medida que a litografia diminui, o número de ativações necessário para induzir bit flips também cai.”
Pesquisas posteriores revelaram que a vulnerabilidade depende de múltiplos fatores, como condições ambientais (temperatura e voltagem), variações no processo de fabricação, padrões de dados armazenados, padrões de acesso à memória e políticas de controle adotadas pelo sistema.
Entre as principais defesas contra ataques RowHammer estão o Error Correction Code (ECC) e o Target Row Refresh (TRR).
No entanto, essas medidas já mostraram ser ineficazes contra ataques mais sofisticados, como TRRespass, SMASH, Half-Double e Blacksmith.
As novas descobertas da ETH Zürich e da Google indicam que é possível ultrapassar as defesas TRR avançadas em memórias DDR5, permitindo o que os pesquisadores chamam de “primeiro exploit de escalonamento de privilégio RowHammer em um sistema desktop padrão equipado com DDR5 de produção.”
Ou seja, o ataque pode elevar privilégios para root em um sistema DDR5 com configurações padrão em apenas 109 segundos.
O método explora uma falha na amostragem dos intervalos de refresh, que não cobre todas as linhas de memória, permitindo bit flips em todos os 15 chips DDR5 avaliados, produzidos entre 2021 e 2024.
Entre os cenários de exploração estão o ataque a chaves RSA-2048 de máquinas virtuais hospedadas — comprometendo autenticação SSH — e a escalada local de privilégios via binário sudo, elevando o usuário a root.
“Como dispositivos DRAM no mercado não podem ser atualizados, eles seguirão vulneráveis por muitos anos”, alertam os pesquisadores.
“Recomendamos aumentar a taxa de refresh para 3 vezes o padrão, o que impediu o Phoenix de causar bit flips nos nossos sistemas de teste.”
Essa divulgação ocorre poucas semanas depois de equipes das universidades George Mason e Georgia Tech apresentarem dois novos ataques RowHammer denominados OneFlip e ECC.fail.
OneFlip se aproveita de bit flips únicos para alterar pesos em modelos de Deep Neural Network (DNN), provocando comportamentos inesperados.
Já o ECC.fail é o primeiro ataque RowHammer de ponta a ponta comprovado contra servidores DDR4 com memória ECC — tradicionalmente protegidos contra corrupção de dados causada por RowHammer ou até mesmo raios cósmicos.
Segundo os pesquisadores, “servidores possuem proteções extras, como códigos de correção de erros que detectam e corrigem bit flips.
O ECC.fail dribla essas proteções ao induzir bit flips cuidadosamente em locais específicos da memória.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...