Hardware
Im September 2025 veröffentlichten Forscher der ETH Zürich einen Studie über Phoenix, eine Modifikation des Rowhammer-Angriffs, die mit DDR5-Speichermodulen funktioniert. Die Autoren demonstrierten nicht nur, wie effektiv der neue Angriff gegen 15 getestete Module ist, sondern schlugen auch drei praktische Anwendungsfälle vor: Lesen und Schreiben von Daten aus dem Speicher, Diebstahl eines im Speicher abgelegten privaten Chiffrierschlüssels und Umgehung der sudo-Schutzfunktionen von Linux, um Berechtigungen zu erweitern.
Wie der Rowhammer-Angriff funktioniert
Diese ziemlich komplexe Studie lässt sich besser verstehen, wenn man die Geschichte von Rowhammer zumindest ansatzweise kennt. Der Rowhammer-Angriff wurde 2014 erstmals in einer Studie beschrieben. Damals zeigten Wissenschaftler der Carnegie Mellon University (USA) und Intel-Forscher, wie ein wiederholter Zugriff auf Speicherzeilen dazu führen kann, dass benachbarte Speicherzellen ihren Wert ändern. Benachbarte Zeilen können kritische Daten enthalten, bei Änderungen wären also schwerwiegende Folgen möglich (z. B. eine Ausweitung der Berechtigungen).
Das Phänomen geht darauf zurück, dass die Zellen eines Speicherchips eigentlich Kondensatoren sind: einfache Bauteile, die eine elektrische Ladung nur für kurze Zeit halten können. Deshalb ist dieser Speicher flüchtig: Sobald der Computer oder Server ausgeschaltet wird, sind die Daten verschwunden. Aus dem gleichen Grund muss die Ladung in den Zellen häufig aufgefrischt werden – selbst wenn niemand auf einen Speicherbereich zugreift.
Speicherzellen sind nicht voneinander isoliert. Sie sind in Zeilen und Spalten angeordnet und auf eine Weise miteinander verbunden, die Störungen bewirken kann. Der Zugriff auf eine Zeile kann sich auch auf eine benachbarte Zeile auswirken. Wenn beispielsweise eine Zeile aktualisiert wird, können die Daten in einer anderen beschädigt werden. Dieser Effekt war jahrelang nur den Speicherherstellern bekannt, die alles taten, um ihn abzuschwächen und die Zuverlässigkeit zu erhöhen. Da die Zellen jedoch immer kleiner werden und damit enger zusammenrücken, wurde der Rowhammer-Effekt für reale Angriffe nutzbar.
Nachdem der Rowhammer-Angriff demonstriert worden war, ergriffen die Speicherentwickler verschiedene Schutzmaßnahmen, so etwa die Hardware-Technologie „Target Row Refresh“ (TRR). In der Theorie ist dies einfach: TRR überwacht den aggressiven Zugriff auf Zeilen. Wird ein solcher Zugriff erkannt, werden benachbarte Zeilen zwangsweise aktualisiert. In der Praxis ist es jedoch schwieriger. 2021 beschrieben Forscher den Blacksmith-Angriff, bei dem TRR mithilfe komplexerer Zugriffsmuster auf Speicherzellen überlistet wurde.
Die Entwickler passten ihr Vorgehen erneut an: Sie fügten noch komplexere Abwehrmaßnahmen gegen Rowhammer-ähnliche Angriffe in DDR5-Modulen hinzu und erhöhten die erzwungene Aktualisierungsfrequenz. Um neuen Angriffen zuvorzukommen, hielten die Hersteller ihre Gegenmaßnahmen geheim. Jedenfalls wurde angenommen, dass das Rowhammer-Problem für DDR5 effektiv gelöst war. Erst im vergangenen Jahr gelang es Forschern der ETH Zürich jedoch, DDR5-Module erfolgreich anzugreifen, wenn auch unter speziellen Bedingungen: Der Speicher musste mit AMD Zen 2- oder Zen 3-CPUs verbunden sein, und selbst dann waren einige Module immun.
Merkmale des neuen Angriffs
Für die Entwicklung des Phoenix-Angriffs bauten die Forscher den TRR-Mechanismus nach. Sie analysierten, wie sich TRR bei verschiedenen Zugriffsmustern auf Speicherzeilen verhielt, und prüften, ob der Schutz für benachbarte Zeilen ausgelöst wurde. Wie sich herausstellte, ist TRR erheblich komplexer geworden und bereits bekannte Zugriffsmuster funktionieren nicht mehr. – Der neue Schutz kennzeichnet solche Muster als potenziell gefährlich und aktualisiert benachbarte Zeilen zwangsweise. Die Forscher stellten fest: Nach 128 Speicherzugriffen, die mit TRR verfolgt werden, tritt ein „Fenster der Möglichkeiten“ von 64 Zugriffen auf, während dem die Abwehr schwächer ist. Das Schutzsystem versagt zwar nicht komplett, seine Reaktionen können jedoch nicht verhindern, dass eine Zielspeicherzelle verändert wird. Das zweite „Fenster“ erscheint nach 2.608 Aktualisierungsintervallen.
Die Forscher untersuchten die gefundenen Schwachstellen noch genauer: Sie wollten die Abwehrmechanismen ausschalten und bestimmte Speicherzeilen gezielt angreifen. Vereinfacht ausgedrückt funktioniert der Angriff so: Der Schadcode führt eine Reihe von Scheinzugriffen aus, damit sich der TRR-Mechanismus in falscher Sicherheit wiegt. Dann folgt die aktive Angriffsphase, in der die Daten der Zielzelle verändert werden. Dadurch konnte das Team bestätigen, dass der Angriff gegen alle 15 getesteten DDR5-Module des Marktführers SK Hynix zuverlässig funktionierte.
Drei realistische Angriffsszenarien
Damit ein Angriff als realistisch gilt, muss ein Wert in einem genau definierten Speicherbereich geändert werden – eine ziemlich schwierige Aufgabe. Der Angreifer muss sich wirklich gut mit der Software auskennen, die gehackt werden soll. Er muss mehrere standardmäßige Sicherheitsvorkehrungen aushebeln, und wenn er das Ziel auch nur um ein oder zwei Bits verfehlt, kann das System abstürzen und der Hack war erfolglos.
Die Schweizer Forscher wollten beweisen, dass mit Phoenix echte Schäden angerichtet werden können. Dazu untersuchten Sie drei Angriffsszenarien. Das erste (PTE) beinhaltete den Zugriff auf die Seitentabelle, um Voraussetzungen für das beliebige Lesen/Schreiben von RAM-Daten zu schaffen. Die zweite Methode (RSA) hatte das Ziel, einen privaten RSA-2048-Chiffrierschlüssel aus dem Speicher zu stehlen. Bei der dritten Methode (sudo) wurden die Schutzmaßnahmen des standardmäßigen Linux-Dienstprogramms sudo umgangen, um Berechtigungen zu eskalieren. Die Ergebnisse der Studie sind in dieser Tabelle zusammengefasst:
Effektivität des Phönix-Angriffs. Quelle
Für einige Module war die erste Angriffsvariante (128 Aktualisierungsintervalle) effektiv, während für andere nur die zweite Methode (2.608 Intervalle) funktionierte. In einigen Versuchen gelangen der Diebstahl von RSA-Schlüsseln und sudo-Exploits nicht. Für alle Module wurde jedoch eine Methode zum willkürlichen Lesen/Schreiben im Speicher gefunden, und die Exploit-Dauer war für diese Angriffsklasse relativ kurz – von fünf Sekunden bis zu sieben Minuten. Damit wurde gezeigt, dass Rowhammer-Angriffe ein echtes Risiko darstellen kann, wenn auch nur bei einer geringen Anzahl von Szenarien.
Relevanz und Gegenmaßnahmen
Der Phoenix-Angriff hat gezeigt, dass Rowhammer-Angriffe gegen DDR5-Module genauso effektiv sein können wie gegen DDR4 und DDR3. Zwar gibt es einige Einschränkungen: Nur Module eines einzigen Herstellers wurden getestet und die Forscher entdeckten im entsprechenden TRR-Algorithmus eine relativ simple Schwachstelle, die sich höchstwahrscheinlich leicht beheben lässt. Trotzdem ist dies ein wichtiger Schritt in der Sicherheitsforschung von Speichermodulen.
Die Autoren schlugen mehrere Abwehrmaßnahmen gegen Rowhammer-Angriffe vor. Erstens: Verringerung des erzwungenen Aktualisierungsintervalls für alle Zellen, um den Angriff zu erschweren. Diese Lösung kann den Stromverbrauch und die Chiptemperatur erhöhen, ist aber leicht zu verwirklichen. Zweitens: Verwendung eines Speichers mit Fehlererkennung und -korrektur (ECC). Auch dies erschwert Rowhammer-Angriffe, macht sie aber paradoxerweise nicht völlig unmöglich.
Neben diesen offensichtlichen Maßnahmen erwähnen die Autoren noch zwei weitere. Die erste Schutzmethode heißt „Fine Granularity Refresh“ und wird bereits implementiert. Sie ist in den Speicher-Controller des Prozessors integriert und modifiziert das Aktualisierungsverhalten der Speicherzellen, um Rowhammer-Angriffe abzuwehren. Als zweite Maßnahme schlagen die Forscher den Entwicklern von Speichermodulen und Chips vor, sich nicht länger auf proprietäre Sicherheitsmaßnahmen zu verlassen („Sicherheit durch Geheimhaltung“). Als Alternative empfehlen sie einen Ansatz, der in der Kryptografie üblich ist: Dort werden Sicherheitsalgorithmen öffentlich zugänglich gemacht und unabhängigen Tests unterzogen.
Tipps