摘要：研究人员发现 DDR5 内存模块易受 Rowhammer 攻击，尽管这种内存本应受到很大程度的保护。最新的 DDR5 规范规定了保护内存芯片中恶意位切换的机制，但“凤凰”（Phoenix）攻击在规范中制造了漏洞，导致出现针对最现代计算机平台的破解工具。

研究人员发现 DDR5 内存模块易受 Rowhammer 攻击，尽管这种内存本应受到很大程度的保护。最新的 DDR5 规范规定了保护内存芯片中恶意位切换的机制，但“凤凰”（Phoenix）攻击在规范中制造了漏洞，导致出现针对最现代计算机平台的破解工具。

图片来源：www.bleepingcomputer.com

DDR5 芯片易受 Rowhammer 攻击的问题由瑞士苏黎世联邦理工学院（ETH Zurich）计算机安全部门（COMSEC）和谷歌公司联合研究团队揭示。他们研究了 SK hynix 公司生产的 DDR5 内存的防护机制，该公司的市场份额达到 36%。不过，这并不意味着其他厂商的 DDR5 内存不受此漏洞影响。似乎没有绝对安全的芯片存在。

攻击 Rowhammer，我们记得，其原理在于增加对特定内存单元的访问频率。这会导致内存单元中寄生漏电流的增加，从而影响相邻的 DRAM 单元。其后果是，非直接攻击的内存单元（例如，在受保护内存区域的单元）的比特状态发生切换。这种攻击允许攻击者提升系统权限，提取加密密钥，并在受攻击的计算机上对用户造成许多其他麻烦。

在研究了 DDR5 内存中 SK hynix 防范 Rowhammer 攻击的解决方案后，一组科学家发现 Target Row Refresh (TRR) 机制存在盲区，该机制通过在检测到频繁访问特定行时发送额外的更新命令来防止比特反转。结果表明，TRR 运行时存在攻击无法被补偿的间隔。具体来说，对于所研究的内存，这些间隔是更新间隔 128 和 2608。如果攻击与 TRR 保护过程同步，那么攻击会在系统保护无响应的精确时间进行。

基于发现的名为 Phoenix 的漏洞，研究人员创建了一个提升系统权限的漏洞利用程序。在测试过程中，不到两分钟就能在默认配置的标准 DDR5 系统上获得 root 权限。

此外，研究人员研究了 Phoenix 攻击在获取目标系统控制权方面的实际应用可能性。在针对页表入口（PTE）记录以在内存中创建任意读写原语时，他们发现所有测试产品都存在漏洞。在另一项测试中，研究人员试图攻击位于同一位置的 RSA-2048 密钥，以破解 SSH 认证，并发现 73%的 DDR5 模块未提供保护。

目前，Phoenix 漏洞被跟踪为 CVE-2025-6202，具有高危险性。它影响 2021 年 1 月至 2024 年 12 月期间发布的所有 DDR5 内存模块。所有 15 个测试的 SK hynix DDR5 内存模块都存在 Phoenix 攻击的某种漏洞，甚至存在全套漏洞。

作为对抗 Phoenix 攻击和其他类似攻击的方案，研究人员建议将内存刷新时间（tREFI）增加三倍。这会干扰已存在的攻击性利用工具，但需要指出的是，增加内存刷新间隔很可能导致数据损坏和系统不稳定，因此这个建议虽然有趣，但实际价值有限。我们只能寄希望于内存和芯片组制造商，他们能够开发出针对“Phoenix”攻击的防护机制，让 Rowhammer 攻击不再像传说中的不死鸟一样，从灰烬中卷土重来，给新的漏洞命名。

来源：A7a369一点号