كشف فريق الباحثين في مجموعة Computer Security Group COMSEC في ETH Zurich بالتعاون مع باحثين من Google عن نسخة جديدة من هجمات Rowhammer، أطلقوا عليها اسم Phoenix، وطوروا فيها آليات مزامنة ذاتية تسمح للهجوم بالالتفاف على آليات الحماية المعقدة في شرائح DDR5 المصنعة من قبل SK Hynix.
تعمل هجمات Rowhammer عبر تكرار الوصول إلى صفوف محددة من خلايا الذاكرة بإيقاع قراءة وكتابة سريع، ما يولد تداخلاً كهربائياً يؤدي إلى قلب قيمة البتات المجاورة من واحد إلى صفر وبالعكس. يستخدم المهاجم قلب البتات لتغيير بيانات حساسة أو لتعديل هياكل الذاكرة التي تؤثر على قرارات نظام التشغيل، ما يفتح مسارات لتصعيد امتيازات، وتنفيذ شيفرات خبيثة، أو الوصول إلى مفاتيح تشفير.
تعاملت الشركات المصنعة مع Rowhammer عبر آلية Target Row Refresh التي تصدر أوامر تحديث إضافية عند اكتشاف وصولات متكررة إلى صف معين بهدف منع قلب البتات. بعد تفكيك تصميمات الحماية المعقدة في شرائح Hynix ودراسة آلية عملها، اكتشف الباحثون فترات تحديث لم تدرجها عينات رصد التخفيف التقليدية، وحددوا طريقة لاستغلال هذه الفترات من خلال مزامنة ضربات القراءة والكتابة مع جدول تحديثات DRAM.
صمم الباحثون نمط Phoenix ليغطي سلسلة من فترات التحديث بطولين أساسيين هما 128 فترة تحديث و2608 فترة تحديث، وحددوا فتحات تهيئة للتفعيل في لحظات زمنية دقيقة. أضافوا إلى ذلك آلية إصلاح ذاتي تراقب آلاف عمليات التحديث وتعيد تزامن الضربات عند اكتشاف تفويت تحديث واحد.
نفذ الفريق تجارب على 15 وحدة DDR5 ضمن مجموعة اختبارات متجانسة وقلب بتات على جميع الوحدات باستخدام أنماط Phoenix، وبنى استغلالاً عملياً لتصعيد الامتيازات عبر تعديل هياكل الذاكرة. حصل الباحثون على واجهة أوامر بصلاحيات الجذر في أقل من دقيقتين على نظام DDR5 بإعداداته الافتراضية. وعند استهداف مدخلات جداول الصفحات من أجل إنشاء عملية قراءة/كتابة عشوائية في الذاكرة، وجدوا أن جميع المنتجات في الاختبار معرضة للخطر.
في تجربة أخرى استهدفوا مفاتيح RSA-2048 لآلة افتراضية مجاورة لكسر مصادقة SSH فتبين أن نسبة 73% من وحدات DIMM عرضة للخطر. وفي تقييم ثالث تمكنوا من تعديل ملف sudo لرفع الامتيازات المحلية إلى مستوى الجذر على 33% من الشرائح المختبرة.
تظهر نتائج الاختبارات أن كل وحدات DDR5 التي اختبروها تعرضت لنمط واحد على الأقل من أنماط Rowhammer المستخدمة في Phoenix، فيما أثبت النمط الأقصر الذي يغطي 128 فترة تحديث فعالية أعلى وأدى إلى معدلات قلب بتات أكبر في المتوسط.
صنف الفريق الهجوم تحت معرف الثغرة CVE-2025-6202 ومنحوه تصنيف شدة عال، وحدد نطاق التأثير ليشمل وحدات DIMM المصنعة في الفترة من يناير 2021 إلى ديسمبر 2024.
على الرغم من أن Rowhammer مشكلة أمنية على مستوى الصناعة لا يمكن تصحيحها بأثر رجعي للوحدات الموجودة حالياً إلا أن المستخدمين قادرون على إيقاف هجمات Phoenix عبر زيادة معدل تحديث DRAM ثلاثة أضعاف (tREFI). هذه المقاربة قد تؤدي إلى أخطاء أو تلف بيانات أو عدم استقرار في النظام.
