2020-03-31 22:00 (화)
잘못된 로우해머 수정으로 DRR4 DRAM 칩에서 비트 플립 공격 재활성화
상태바
잘못된 로우해머 수정으로 DRR4 DRAM 칩에서 비트 플립 공격 재활성화
  • hsk 기자
  • 승인 2020.03.15 10:19
이 기사를 공유합니다

로우해머 취약점. 공격자가 메모리 셀에 반복적으로 액세스하고 비트 플립을 유도하여 대상 시스템에서 더 높은 커널 권한을 얻을 수 있는 최신 DRAM(동적 랜덤 액세스 메모리) 칩에 영향을 미치는 치명적인 이슈이다.

최신 DDR4 DRAM의 로우해머 취약점을 완화하기 위해 많은 메모리 칩 제조업체는 대상 행이 임계 값 이상으로 액세스 될 때 인접한 행을 새로 고치는 ‘대상 행 새로 고침(TRR, Target Row Refresh)’이라는 용어로 방어 기능을 추가했다.

그러나 로우해머 공격을 완화하기 위해서는 TRR도 충분하지 않으며 공격자가 새로운 해머링 패턴을 실행하고 최신 하드웨어에 대한 비트 플립 공격을 재활성화 할 수 있음이 밝혀졌다.

CVE-2020-10255로 추적된 이 취약점은 VUSec Lab 연구원들이 새로 발견하였고, 이들은 실제 공격에 적용 가능한 정교한 해머링 패턴을 식별할 수 있는 로우해머 퍼징 툴(오픈소스 블랙박스) ‘TRRespass’를 배포했다.

연구원들에 따르면, TRRespass 퍼저는 DRAM의 여러 위치에서 서로 다른 임의의 행을 반복적으로 선택하여 해머링을 수행하고, 메모리 컨트롤러 또는 DRAM 칩의 구현을 모르는 경우에도 작동한다.

또한 최신 결함은 대부분의 최신 스마트폰에 내장된 LPDDR4, LPDDR4X에도 영향을 미쳐 수 백 만개의 장치가 여전히 로우해머 취약점에 노출되어 있다. 연구원들은 “우리는 단순화한 TRRespass 버전을 ARM으로 포팅해 구글 픽셀 3과 삼성 갤럭시 S10 등 다양한 스마트폰에서 비트 플립에 성공했다.”고 말했다.

TRR은 인접한 행의 활동 수를 세어 먼저 정의된 값과 비교하는 방식으로 피해 가능성이 있는 행을 식별하지만, 여전히 액세스된 모든 행에 대한 정보를 동시에 유지할 수 없기 때문에 공격 행을 통한 비트 플립을 효과적으로 완화할 수 없다.

이들은 블로그에서 “알려진 로우해머 변종은 공격을 수행하기 위해 최대 2개의 공격 행을 사용한다. 자주 액세스하는 소수의 행은 TRR로 쉽게 모니터링할 수 있지만 더 많은 공격 행을 사용할 경우에는 어떻게 될까?”라고 언급했다.

“하지만 한번에 몇개의 공격 행만 추적할 수 있기 때문에 더 많은 공격이 있을 경우에 TRR 완화가 깨질 수 있다. DRR4 칩은 이 공격에 더욱 취약하므로 비트 플립을 트리거하기 위한 각각의 공격 행에 대한 액세스 수를 줄일 가능성을 제공한다. 또는 다시 말해, 완화법을 우회할 공격 행의 수를 늘리는 것이다.”고 덧붙였다.

연구원들은 “42개 DIMM을 사용하여 3개의 주요 메모리 공급 업체(시장의 99% 이상을 훼손)에 대한 TRRespass를 시도했고, 이 중 12개에서 비트 플랍을 발견했다.”고 설명했다. VUSec팀은 작년 말에 영향을 받는 모든 대상자에게 새로운 로우해머 공격을 보고했지만, 바로 패치되지는 않을 것으로 보인다. VUSec은 사용자가 스마트폰 메모리팁이 새로운 로우해머에 취약한지 여부를 확인하기 위해 설치하고 사용할 수 있는 안드로이드 앱을 곧 출시할 것이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★