Analyse zur Rowhammer-Lücke
Letzte Woche veröffentlichte der Sicherheitsforscher Mark Seaborn Informationen über ein mögliches Problem mit modernen DRAM-Chips. Durch gezielte permanente Speicherzugriffe kann man Fehler im danebenliegenden Speicher erzeugen. Seaborn gelang es, diese Rowhammer genannte Lücke für verschiedene Angriffe auszunutzen. So gelang es Seaborn mittels Rowhammer, unter einem Linux-System von einem Nutzeraccount aus Root-Zugriff zu erhalten.
Rowhammer ist anders als gewöhnliche Sicherheitslücken. Auch wenn Lücken wie Heartbleed oder Shellshock sicher gravierende Auswirkungen haben können ist die Lösung meist klar: Updaten. Bei Rowhammer ist das anders, denn es handelt sich um ein Problem in der Hardware. Auch ist schwer abzuschätzen ob verbesserte Rowhammer-Angriffe das Problem noch ausweiten.
Wir sind relativ sicher, dass wir zur Zeit durch Rowhammer nicht bedroht sind. Unsere Kundensysteme nutzen alle ECC-Speicher. Bislang sieht es so aus als wären ECC-Systeme generell vor Rowhammer geschützt. Das bestätigen auch unsere eigenen Tests. Neben den Kundensystemen haben wir ein System ohne ECC-Speicher, welches wir nur für Backups nutzen. Da dort lediglich Administratoren Zugriff haben ist das keine direkte Gefahr. Die Rowhammer-Angriffsszenarien gehen alle davon aus dass ein Angreifer lokal Code auf dem System ausführen kann.
Unser Server-Anbieter Hetzner hat nachdem wir das Problem gemeldet hatten auf dem betroffenen System ein BIOS-Update durchgeführt. Wir konnten danach das Problem zunächst mit einem der Rowhammer-Testtools nicht mehr reproduzieren, ein zweites Testtool, welches einen doppelseitigen Rowhammer-Angriff durchführt, zeigte jedoch weiterhin fehlerhaftes Speicherverhalten. Wir werden den entsprechenden Arbeitsspeicher tauschen lassen und das Problem weiter beobachten.
Unsere Kundensysteme sind zusätzlich durch den Linux-Kernel-Patch GrSecurity geschützt. Der Rowhammer-Angriff von Seaborn nutzt die Tatsache aus, dass unter Linux ein Nutzerprozess Informationen über das Speicherlayout aus dem proc-Dateisystem auslesen kann. Mit GrSecurity ist das nicht möglich. Wenn sich herausstellen sollte, dass auch Systeme mit ECC-Speicher für verbesserte Rowhammer-Angriffe verwundbar sind, haben wir mit GrSecurity eine zusätzliche Schutzbarriere, die Angriffe erschwert.
Unser Administrator Hanno Böck hat für das IT-Onlinemagazin Golem.de zwei Berichte über Rowhammer geschrieben, dort finden Sie weitere Informationen:
RAM-Chips geben Angreifern Root-Rechte
ECC-Speicher kann helfen
Bildquelle: Zorro 43, Wikimedia Commons