前言

　　row-hammer是一種能在物理層面上造成RAM位翻轉的硬件漏洞。Mark?Seaborn 和Thomas Dullien 兩人首次發現可以利用Row-hammer漏洞來獲取內核權限。Kaveh Razavi等人通過利用操作系統的“內存重復刪除”特性能夠有效控制比特位翻轉，他們將Row-hammer漏洞利用推向了一個新的臺階。如果他們知道私密文件的內容，那么他們可以利用比特翻轉來加載私密文件（比如authorized_keys），并通過削弱authorized_keys文件中的RSA模塊，他們能夠生成相應的私鑰并在共同托管的受害者VM上進行身份驗證。

　　在這篇文章中，我們的目的是展示不同的攻擊情形。在本文我們破壞了正在運行的程序狀態，而不是破壞內存加載的文件。libpam是一個很容易遭受攻擊的目標，因為它再類unix系統上提供身份驗證機制。通過在攻擊者的VM中運行row-hammer攻擊實例，我們能夠通過破壞pam_unix.so模塊狀態在鄰近的受害者VM上成功進行身份驗證。在下文中，我們假設兩臺相鄰的虛擬機運行Linux（攻擊者VM +受害者VM），而且都托管在KVM虛擬機管理程序上，具體如下圖所示：

　　Row-hammer

　　DRAM芯片由周期性刷新的單元行組成，當CPU對存儲器的一個字節請求讀/寫操作時，數據首先被傳送到行緩沖器。在讀/寫請求執行之后，行緩沖器的內容會被復制回原始行，頻繁的讀寫操作（放電和再充電）可能導致相鄰行單元上出現較高的放電率從而引發錯誤。如果在丟失其電荷之前不刷新它們，則會在相鄰的存儲器行中引起位翻轉。

　　以下代碼足以產生位翻轉，該代碼從兩個不同的存儲器行交替讀取數據。這種操作是必需的，否則我們只能從行緩沖區讀取數據，并且將無法重新激活一行數據，而且還需要使用cflush指令以避免從CPU的緩存中讀取數據。Mark Seaborn和Thomas Dullien注意到，如果我們“侵略”其相鄰行的數據（行k-1和行k + 1），那么row-hammer效應在受害者行k上將會被放大，具體如下圖所示：

　　CHANNELS, RANKS, BANKS AND ADDRESS MAPPING

　　在包含2個channel的電腦配置中，最多可以插入兩個內存模塊。一個存儲器模塊由該模塊兩側的存儲器芯片組成，而且一個存儲器芯片組成一個存儲體，一個存儲體代表一個存儲單元矩陣。下面以我的電腦為例來說明，我的電腦配備了8 GB RAM，具體參數如下所示：

　　2個channel。

　　每個channel包含1個內存模塊。

　　每個內存模塊包含2個rank。

　　每個rank包含8個內存芯片。

　　每個芯片包含8個bank。

　　每個bank代表2^15行x 2^10列x8 bits。

　　因此，可用的RAM大小計算如下：

　　2 modules * 2 ranks * 2^3 chips * 2^3 banks * 2^15 rows * 2^10 columns * 1 byte = 8 GB

　　當CPU訪問一個字節內存時，內存控制器負責執行該讀請求。Mark Seaborn已經確定了英特爾Sandy Bridge CPU的物理地址映射機制。該映射與下面給出的內存配置相匹配：

　　位0-5：字節的低6位用于索引行。

　　位6：用于選擇channel。

　　位7-13：字節的高7位用于索引列。

　　位14-16：((addr>>14)&7)^((addr>>18)&7)用于選擇bank。

　　位17：用于選擇rank。

　　位18-33：用于選擇行。

　　正如這篇文章所述，即使CPU請求單個字節，內存控制器也不會尋址芯片并返回8個字節，CPU會使用地址的3 LSB位來選擇正確的位。在這篇文章的其余部分，我們將使用上文提供的物理映射機制。

　　行選擇

　　Row-hammer需要選擇屬于同一個bank的行數據，如果我們無法將虛擬地址轉換為物理地址，那么就無法瀏覽行數據。假如我們已經知道了底層的物理地址映射，那么怎么可以獲取一對映射到同一個bank而不同行的地址呢？實際上，從VM的角度來看，物理地址只是QEMU虛擬地址空間中的偏移量，因此為了達到從VM進行“攻擊”的目的，我們只要獲取Transparent Huge Pages (THP)就可以了。

　　THP是一個Linux功能，后臺運行的內核線程會嘗試分配2 MB的巨大頁面。如果我們申請分配一個2 MB大小的緩沖區，那么客戶端的內核線程將返回給我們一個THP。主機中的QEMU虛擬內存也是如此，在一段時間后也將被THP替代。正是因為有了THP，我們才可以獲得2 MB的連續物理內存，并且一個THP包含了很多行數據，因此我們可以瀏覽行數據了。

　　根據先前提出的物理地址映射，由于行數據以MSB位（位18-33）尋址，那么一個THP包含了8*（2*2^20/2^18）行數據。但是，給定行中的地址是屬于不同的channels, banks 以及ranks的。

　　從VM進行Row-hammer攻擊

　　在攻擊者VM中，我們嘗試分配一個THP緩沖區，對于大小為2 MB的每個內存塊，我們通過讀取頁面映射文件來檢查它是否包含在大頁面中。然后，對于THP頁面中的每兩行（r，r+2），我們通過改變channel位和rank位來”敲擊”每對地址。但是請注意，物理地址映射中的排列方案使得選擇屬于同一個bank的地址對具有以下要求：

　　令（ r_i，b_i ）表示行i的地址中標識行和存儲體的3個LSB位。對于固定channel和rank，我們從行i開始依次“敲擊”行j（j=i+2）中滿足以下條件

　　的地址開始。

　　對于給定的bank b_i，在8個給定的bank b_j中只有三個滿足上述條件，具體如下圖所示：

　　以下是我們優化后的row-hammer代碼：

　　關于Row-hammer最后一件有趣的事情是：如果我們針對受害者機器中的行數據進行了位翻轉，那么通過重新“敲擊”相鄰行再現位翻轉的可能性就很大。

　　Memory de-duplication

　　現在我們知道如何“敲擊”，下面我將介紹如何依靠操作系統內存重復數據刪除實現在內存中執行位翻轉操作。內存重復數據刪除在虛擬機環境中尤其有用，因為它顯著減少了內存占用。在Linux上，內存重復數據刪除由KSM來實現。KSM會定期掃描內存并合并匿名頁面（具有MADV_MERGEABLE標記的頁面）。

　　假設我們知道相鄰VM中文件的內容，以下是通過利用Row-hammer漏洞和內存重復數據刪除功能來修改文件中隨機位的主要步驟：

　　1.從攻擊者虛擬機“敲擊”內存。

　　2.加載內存頁面中容易受到位翻轉攻擊的目標文件。

　　3.加載受害者虛擬機中的目標文件。

　　4.等待KSM合并這兩個頁面。

　　5.再次“敲擊”。

　　6.受害者虛擬機中的文件應該已被修改。

　　如Razavi等人在其論文所述，THP和KSM可能對Row-hammer造成意想不到的影響。因為THP會合并正常的4 KB頁面以形成龐大的頁面（2 MB），而KSM會合并具有相同內容的頁面。這可能導致KSM打破巨大頁面的情況。為了避免這種情況，我們用8個隨機字節填充每個4 KB頁面的頂部。

　　處理Libpam程序

　　給定一個程序P，我們怎么能在程序代碼中找到可以改變P輸出結果的所有可翻轉的bit位呢？對程序P執行逆向分析看似是個不錯的想法，可逆向工程太耗費時間了。在本文中，我們使用radare2開發了一個PoC（flip -flop.py），該PoC能夠自動捕獲程序P的可翻轉bit位。該PoC的原理是：我們翻轉一些目標函數的每一位，并運行所需的功能，然后檢查翻轉的位是否影響目標函數的預期結果。我們在pam_unix.so模塊（23e650547c395da69a953f0b896fe0a8）的兩個函數上運行了PoC，如下圖所示：

　　pam_sm_authenticate [0x3440]：執行驗證用戶的任務。

　　_unix_blankpasswd [0x6130]：檢查用戶是否沒有空白密碼。

　　我們總共發現可17個可以翻轉的bit位，利用這些bit位我們可以使用空白或錯誤的密碼執行身份驗證操作。

　　值得注意的是，腳本無法從某些崩潰中恢復。原因是由于r2pipe沒有提供任何處理錯誤的機制，那么當有一些致命的崩潰發生，r2pipe是無法恢復會話的。

　　開始攻擊

　　我們的目標是在相鄰VM中的pam_unix.so模塊上運行一個Row-hammer攻擊實例。我們首先回顧了繞過受害者VM身份驗證機制的主要步驟：

　　1.分配可用的物理內存。

　　2.在內存頁面添加一些填充數據，以防止KSM破壞THP頁面。我們在每4 KB頁面的頂部填充8個隨機字節，其余的填充'\xff'以檢查方向1-> 0的位翻轉（或使用'\0'來檢查0->1的位翻轉方向）。

　　3.我們在每個TPH頁面中”敲擊”每對被“入侵”的行，并檢查我們是否在受害者行中進行了位翻轉。

　　4.如果位觸發器與表1的偏移量匹配，則將pam_unix.so模塊加載到受害者頁面中。

　　5.通過嘗試登錄來加載受影響虛擬機中的pam_unix.so模塊。

　　6.等待KSM合并頁面。

　　7.再次“敲擊”已經產生相關翻轉的bit位，此時受害者VM機器中，內存中的pam_unix.so已被更改。

　　8.操作完畢。

　　完整的exploit（pwnpam.c）可以在這里找到 。

　　請注意，漏洞利用不是100％可靠，如果我們找不到可用的位翻轉，那么實驗將不會成功。

　　更進一步

　　漏洞利用并不完全自動，因為在某些時候，我們需要與漏洞利用進行交互，以確保模塊已經加載到受害者VM內存中并且其內容已經與攻擊者虛擬機中加載的內容合并在一起，這時執行bit位翻轉才會成功。

　　為了能夠自動化的進行漏洞利用，可以通過利用KSM中的側信道定時攻擊來改善攻擊，該功能使我們能夠檢測兩個頁面是否共享。以下代碼是文中描述算法的實現，程序首先分配N個緩沖區（每個4096 KB），并用隨機數據填充它，代碼如下所示：

　　該程序修改緩沖區前半部分中每個元素的單個字節，并測量寫入操作時間。

　　根據程序輸出，我們可以根據執行寫入操作所需的CPU周期數，清楚地區分復制頁面和非共享頁面。

　　請注意，我們還可以依靠側信道來檢測受害者VM上運行的libpam版本。

　　在我們的漏洞中，我們假設攻擊者VM是在受害者VM之前啟動的。此條件可以確保KSM總是通過攻擊者控制的物理頁面返回合并的頁面。正如Kaveh Razavi文章所述，這種情況可以輕松實現，但該解決方案需要更深入地了解KSM的內部原理：KSM通過維護兩個紅黑樹：穩定的樹和不穩定的樹來管理內存重復數據刪除，前者跟蹤共享頁面，而后者存儲合并候選頁面。KSM會定期掃描頁面，并嘗試從穩定樹中首先合并它們。如果失敗，它會嘗試在不穩定的樹中找到一個匹配項。如果它再次失敗，它將候選頁面存儲在不穩定的樹中，并繼續下一頁。

　　在我們的例子中，從不穩定樹執行合并，KSM會選擇首先注冊合并的頁面。 換句話說，首先啟動的VM會贏得合并。為了放寬這個條件，我們可以嘗試從穩定樹合并頁面。 我們所要做的就是在攻擊者VM內存中加載兩次pam_unix.so模塊，并等到KSM合并這些副本。之后，當pam_unix.so模塊加載到受害者虛擬機時，其內容將與已存在于穩定樹中并由攻擊者控制的副本合并。

　　結論

　　盡管Row-hammer攻擊是強大和有效的，但它卻不再是神話。在這篇博客文章中，我們試圖提供必要的工具來實現Row-hammer攻擊，而且我們提供了一個漏洞，并允許人們在共同托管的虛擬機上獲得訪問權限或提升其權限。

　　最后注意一下，禁用KSM就可以阻止我們的利用了。

責任編輯：韓希宇