跨虛擬機的Row Hammer攻擊和權限提升

文/Yuan Xiao　Xiaokuan Zhang　Yinqian Zhang

學術專欄

跨虛擬機的Row Hammer攻擊和權限提升

文/Yuan XiaoXiaokuan ZhangYinqian Zhang

Row Hammer攻擊是一種針對動態(tài)隨機存取內存（DRAM）的攻擊。它利用高密度內存中相鄰存儲單元相互間的電磁作用來引發(fā)錯誤。通過在一定模式下的高頻率反復內存訪問，攻擊者可以在其原本無權訪問的內存區(qū)域引發(fā)存儲值的變化。

軟件系統(tǒng)的安全是建立在正確執(zhí)行的硬件／軟件協(xié)議的基礎上的。違反這些協(xié)議會帶來嚴重的安全漏洞。例如操作系統(tǒng)的安全建立在內存中的數據和代碼無法在缺乏操作系統(tǒng)授權的情況下被修改的假設上。然而，近來出現(xiàn)的Row Hammer攻擊卻能破壞這種假設，并帶來一系列安全問題。這種攻擊可以在不訪問目標內存區(qū)域的前提下使其產生數據錯誤。

Row Hammer攻擊利用了內存設計中的缺陷。現(xiàn)代大容量內存有著很高的內存單元密度。這使得單元間的相互電磁作用變得更為顯著。電磁影響會加速電容電壓的變化，帶來潛在的數據丟失威脅。這種被稱作“Disturbance Error”的漏洞多年前就已被發(fā)現(xiàn)，但是它直到最近才被發(fā)現(xiàn)能夠被軟件人為觸發(fā)。尤其值得注意的是，快速并且重復地激活同一個內存行（DRAM Row）的訪問模式能大大提高相鄰行出現(xiàn)干擾錯誤的可能性。

Row Hammer漏洞被發(fā)現(xiàn)后的短時間內，利用它進行的安全攻擊就陸續(xù)出現(xiàn)，例如，Google的軟件工程師Seaborn展示的兩種權限提升攻擊（Google的NaCl沙盒逃脫以及在Linux中的用戶態(tài)程序獲取內核態(tài)內存訪問權限）。其他的研究以用高級程序設計語言（如JavaScript）觸發(fā)Row Hammer為目標。這樣一個攻擊者就可以通過網絡中注入的惡意代碼，遠程地引發(fā)內存錯誤并實現(xiàn)權限提升。

對于服務器端的攻擊研究要遠少于對客戶端攻擊的研究，而Row Hammer的服務器端攻擊在多用戶的云環(huán)境中尤其值得注意。互不信任的用戶在云中可能共享一臺物理機器，分享一些硬件資源，這就包括內存。盡管服務器級的處理器和更昂貴的內存對于Row Hammer的防御更好，研究表明即使配備了帶有自動糾錯（ECC）功能的內存，服務器仍然可能受到Row Hammer攻擊的影響。

在研究中，我們著重探索了Row Hammer攻擊在跨虛擬機環(huán)境中的應用，并提出了在云環(huán)境中的威脅。我們的目標并不是攻擊云服務器，進而探究其在這種攻擊面前有多脆弱，而是探索在硬件存在這種錯誤的情況下，云系統(tǒng)中基于虛擬化的隔離是否可以被破壞。

強化的Row Hammer攻擊

在本文中提出了一種高可靠度且高確定性的double-sided Row Hammer攻擊。這種攻擊通過攻擊目標內存行的兩個相鄰行來提高攻擊效果。但是這就需要我們了解物理地址是如何被分配到內存中的，比如物理地址中的哪些位決定了內存的channel、bank、row等。這使得我們可以找到同一個bank中的相鄰行（row）。然而，Intel拒絕公布這些相關信息。另外，即使使用同樣的處理器和同樣的內存控制器，這種分配方法還會因為內存（DRAM module）的區(qū)別而不同。

為了解決這個問題，我們提出了一種算法來破解物理地址的動態(tài)分配機制。內存芯片（chip）中的每個bank都有一個行緩沖器（row buffer）來緩存最近使用的行。因此，如果交替訪問同一個bank中兩個不同的行，由于行緩沖器的沖突，會觀察到一個高延遲。這種訪問延遲的增加形成了一個時延通道（timing channel）。可以通過這個通道來確定兩個物理地址是否被分配到了同一個bank的不同行。通過交替訪問兩個只有特定bit不同的物理地址，可以利用它們是否在同一個bank的不同行中。基于這個事實，能夠推斷出物理地址中這些特定bit的功能， 例如是否決定了bank，row， column等等。

圖1　基于圖模型的XOR scheme分析算法

在這個時延通道的基礎上，我們提出了一種新的基于圖模型的算法來破解物理地址中存在的XOR scheme。為了提高內存性能，物理地址分配時會將某些決定行的bit和一些其他bit進行XOR操作，并用這個XOR的結果決定bank或channel等。在圖模型算法中，每個物理地址的bit是一個節(jié)點，通過內存訪問延遲我們可以得到節(jié)點間是否存在XOR關系。如圖1所示就是一個我們的圖模型算法的例子，圖中上半部分是通過測試四個bit（15，16，18和20）所建立的圖模型，而下半部分是則是它對應的XOR scheme 。這種算法能在一到兩分鐘內分析出我們的各個測試機器的內存分配機制。

在了解物理地址的分配機制后，就可以從Xen虛擬機中進行double-sided Row Hammer攻擊。首先通過實驗分析了哪種Row Hammer攻擊的方法最為有效（例如是否引入mfence指令）。接著，我們通過從虛擬機中攻擊所有可訪問內存行的方法找到足夠多的可攻擊bit。它們需要在特定的位置，并且可以被重復觸發(fā)錯誤。由于每個虛擬機僅僅被分配到一小部分物理內存，我們也設計了能夠測試多于初始分配內存的方法。另外，還設計了一個安全模式來減少可能使得系統(tǒng)崩潰的內存錯誤。

跨虛擬機環(huán)境下的Row Hammer權限提升

以往的研究都寄希望于隨機的Row Hammer攻擊能恰好在page table中產生內存錯誤。不同于這些方法，我們設計了一種確定性的攻擊來獲得跨虛擬機環(huán)境下的任意內存位置讀寫權限。圖2展示了整個權限提升攻擊的過程。攻擊者是一個沒有特殊權限的普通虛擬機，在發(fā)起攻擊前能對自己的內存空間進行讀寫操作。雖然攻擊者所擁有的page table都被維護在攻擊者自己的內存空間中，攻擊者并不能直接修改page table。所有的修改必須通過hypercall被hypervisor審核 。在攻擊前，通過Row Hammer攻擊在攻擊者的內存空間里找到一個可用的flippable bit，并且它在page中的相對位置需要滿足一定條件。我們要求在將一個page（4K字節(jié)）均分成64個64 bit長的段后，flippable bit在這個64 bit段中的位置對應一個page table entry中的page frame number部分。

圖2　頁面表替換攻擊（Page Table Replacement Attack）

首先，找到一個last-level page table（即PT）和一個攻擊者控制的普通page。這兩個page的物理地址只有一個bit不同，并且這個不同bit的位置就是flippable bit所對應的位置。在這個普通page中偽造一個page table。這個偽造的page table中的entry指向任意的攻擊者想要訪問的內存物理地址，不論是否受攻擊者的控制。

第二步是將選定的PT所屬的secondlevel page table（即PMD）復制到包含flippable bit的page中。由于沒有修改PMD和PT的內容，我們可以直接通過hypercall來把原來的PMD替換成含有flippable bit的page。我們稱這個新的PMD為shadow PMD。需要注意的是，之前所選定的PT在PMD中對應的entry應該包含這個flippable bit。

接下來，通過Row Hammer來在shadow PMD的這個entry中產生bit flip，使得原本指向PT的條目轉而指向偽造的PT，證明了這個攻擊方法可以使得一個Xen PV虛擬機對于機器上的任意page擁有讀寫權限。并且此時hypervisor和攻擊者的kernel仍然認為這個偽造的PT是一個普通page，因此攻擊者仍然可以通過直接寫入的方式來修改偽造的PT中的entry。

另外，我們還展示了兩個基于這種攻擊的實例。 一個例子是HTTPS網絡服務器中的私鑰竊取。我們利用對任意物理內存的讀權限判斷某一內存地址是否儲存的數據結構是否符合一個有效密鑰的結構。

第二個例子展示了如何利用Row Hammer攻擊，在不知道目標密碼的情況下登錄一個OpenSSH服務器。被攻擊服務器和攻擊者各是一個虛擬機。它們共享同一臺物理機器。我們的主要目標是通過修改內存中SSH服務器進程的代碼來繞過密碼驗證。在進行攻擊前，通過對OpenSSH的匯編和機器代碼的分析，找到跳轉到密碼驗證函數的代碼。首先，利用前面描述的Row Hammer攻擊獲得物理機上的任意讀寫權限。然后在內存中搜索這句跳轉到密碼驗證函數的機器代碼。一旦找到了對應代碼，將其改為把驗證通過的返回值直接寫入對應寄存器(如圖3所示)。這樣，一旦有接入請求發(fā)送到服務器，驗證函數將不會被調用，而直接通過了驗證。

圖3　通過內存修改繞過密碼驗證

攻擊主要以Xen PV虛擬機位目標。需要注意的是，盡管它正逐漸被HVM所取代，目前它仍然被公共云服務提供商廣泛使用。這其中就包括Amazon EC2。這給攻擊者提供了攻擊機會。由于目前已經有了很多成功的攻擊能夠在公共云中實現(xiàn)與目標共用物理機器，建議所有云供應商停止對PV的使用。