新型Rowhammer攻击变种可绕过SK Hynix DDR5内存最新防护机制

目前，研究人员已开发出一种新型Rowhammer攻击变种，能够绕过SK Hynix DDR5内存芯片上的最新防护机制。

Rowhammer攻击的原理是：通过高速读写操作反复访问内存单元的特定行，产生足够强的电干扰，使相邻位（bit）的值在0和1之间异常翻转（即“位翻转”）。攻击者可借此破坏数据、提升系统权限、执行恶意代码，或获取敏感数据。

针对Rowhammer攻击的主流防护机制之一是“目标行刷新（Target Row Refresh，TRR）”——当检测到某一内存行被频繁访问时，TRR会发出额外的刷新指令，从而防止位翻转。

针对DDR5的Rowhammer攻击：以提权为目标

瑞士苏黎世联邦理工学院计算机安全小组与谷歌的研究团队合作，开发了一种名为“Phoenix”的新型DDR5 Rowhammer攻击技术。该技术可通过触发内存芯片中的位翻转，为恶意活动创造条件。 

研究团队的测试基于Hynix的DDR5产品——Hynix是全球最大的内存芯片制造商之一，市场份额约36%，但此类安全风险或同样波及其他厂商的产品。

研究人员首先对Hynix为抵御Rowhammer攻击所设计的复杂防护机制进行逆向工程，摸清其工作原理后发现：该防护机制并未对某些刷新间隔进行采样监测，这一漏洞可被攻击者利用。 

此外，团队还为Phoenix开发了一种同步方法：当检测到错过某次刷新操作时，攻击程序会自我修正，从而实现对数千次刷新操作的跟踪与同步。

为绕过TRR防护，Phoenix攻击中的Rowhammer模式覆盖了128个和2608个刷新间隔，并仅在精准时机对特定“激活时隙”发起攻击。

借助这套攻击模型，研究人员成功在测试池中所有15块DDR5内存芯片上触发了位翻转，并开发出首个基于Rowhammer的权限提升漏洞利用程序。

测试显示，在“采用默认设置的商用DDR5系统”上，研究人员仅用不到两分钟就获取了具备root权限的shell（命令行界面）。

实际攻击场景测试与风险范围

研究人员还探索了Phoenix攻击技术的实际利用可能性，以验证其能否控制目标系统：

1. 内存读写权限突破：通过攻击页表项（PTEs）构建“任意内存读写原语”时，发现所有测试产品均存在漏洞；

2. SSH认证破解：针对共存虚拟机的RSA-2048密钥发起攻击，试图破坏SSH认证，结果显示73%的双列直插内存模块易受攻击；

3. 本地权限提升：通过篡改sudo二进制文件，尝试将本地权限提升至root级别，在33%的测试芯片上成功实现这一目标。

所有测试过的DDR5模块都对新的Phoenix Rowhammer攻击易感

测试数据表明，所有受测内存芯片均易受Phoenix攻击所使用的至少一种Rowhammer模式影响。其中，覆盖128个刷新间隔的较短模式效果更显著，平均触发的位翻转次数更多。

漏洞评级与防御建议

目前，Phoenix攻击所利用的漏洞已被标记为CVE-2025-6202，危险等级为“高”，影响2021年1月至2024年12月期间生产的所有DIMM内存模块。

尽管Rowhammer是全行业性的安全问题，且无法通过修复现有内存模块彻底解决，但用户可通过将DRAM刷新间隔（tREFI）延长至原来的三倍，来阻止Phoenix攻击。不过，这种操作可能导致内存出现错误或数据损坏，进而引发系统不稳定。

研究团队已发表题为《Phoenix：基于自修正同步的DDR5 Rowhammer攻击》的技术论文，并计划于明年在IEEE安全与隐私研讨会上展示该研究成果。

此外，研究人员还公开了一个资源仓库，内含可复现Phoenix攻击的相关材料，包括：基于现场可编程门阵列（FPGA）逆向工程TRR实现的实验数据，以及概念验证漏洞利用程序的代码。