Redazione RHC : 20 septiembre 2025 15:33
Se ha desarrollado una nueva variante de los ataques Rowhammer que puede eludir los últimos mecanismos de seguridad de los chips SK Hynix DDR5. Denominado Phoenix, el ataque permite acceso root a sistemas basados en DDR5 en menos de dos minutos.
Recordemos que el ataque original Rowhammer fue ideado por expertos de la Universidad Carnegie Mellon en 2014. Su esencia radica en que la manipulación intensa de algunas celdas de memoria puede provocar un cambio en el estado de los bits en las celdas adyacentes.
Las celdas de memoria almacenan información en La forma de cargas eléctricas, que determinan el valor de los bits dentro de ellas, es decir, 1 o 0. Debido a la mayor densidad de las celdas, los repetidos «golpes de martillo» (cuando una aplicación accede a las mismas áreas miles de veces en una fracción de segundo) pueden cambiar el estado de carga en filas adyacentes, causando «cambios de bits». De ahí el nombre «Rowhammer».
Uno de los mecanismos de defensa contra los ataques Rowhammer se denomina Actualización de Fila Objetivo (TRR). Previene la inversión de bits activando actualizaciones de fila adicionales cuando se detectan accesos frecuentes a una fila específica.
El ataque Phoenix Rowhammer fue desarrollado por Google y el equipo COMSEC de la Escuela Politécnica Federal de Zúrich (ETH Zurich). El informe señala que el ataque se probó en chips de memoria DDR5 de Hynix (uno de los mayores fabricantes de chips de memoria, con una cuota de mercado de aproximadamente el 36%), pero Phoenix también podría amenazar productos de otros fabricantes.
Tras analizar las sofisticadas defensas implementadas por Hynix para protegerse contra los ataques Rowhammer y examinar su funcionamiento, los investigadores descubrieron que algunos intervalos de actualización no eran monitorizados por las defensas, lo que podría haber sido explotado por un hipotético atacante.
Los expertos también desarrollaron un método que permite a Phoenix rastrear y sincronizar miles de operaciones de actualización, realizando autocorrecciones cuando se detectan las que faltan. Para eludir la protección TRR, Phoenix abarca intervalos de actualización de 128 y 2608 y solo actúa en ranuras de activación específicas en momentos específicos.
Como resultado, los investigadores lograron invertir los bits de los 15 chips de memoria DDR5 del grupo de pruebas y crear un exploit de escalada de privilegios con Rowhammer. Las pruebas demostraron que obtener un shell raíz en un sistema DDR5 típico con la configuración predeterminada tardó solo 109 segundos.
Los autores de Phoenix también exploraron la posible aplicación práctica de este ataque para obtener el control de un sistema objetivo. Descubrieron que, al atacar PTE para crear primitivas de lectura/escritura arbitrarias, todos los productos probados presentaban la vulnerabilidad. En otra prueba, los investigadores utilizaron claves RSA-2048 de máquinas virtuales para descifrar la autenticación SSH y descubrieron que el 73 % de las DIMM eran vulnerables a este ataque.
En un tercer experimento, los investigadores descubrieron que podían modificar el binario sudo para elevar los privilegios locales a root en el 33 % de los chips analizados. Como muestra la tabla, todos los chips de memoria analizados fueron vulnerables a al menos uno de los patrones Rowhammer del ataque Phoenix. El patrón más corto, con intervalos de actualización de 128, resultó más efectivo y generó más cambios en promedio.
Al problema de Phoenix se le ha asignado el identificador CVE-2025-6202, y los atacantes advierten que afecta a todas las memorias DIMM de RAM fabricadas entre enero de 2021 y diciembre de 2024.
Aunque Rowhammer es un problema de seguridad que afecta a toda la industria y no se puede corregir en los módulos de memoria disponibles actualmente, los usuarios pueden protegerse de Phoenix triplicando el intervalo de actualización de la DRAM (tREFI). Sin embargo, se ha observado que esto puede causar errores y corrupción de datos, lo que resulta en una inestabilidad general del sistema.
Además de un informe detallado sobre el nuevo ataque, los investigadores han publicado todo lo necesario para reproducir Phoenix en GitHub. El repositorio incluye experimentos con FPGA para revertir implementaciones de TRR y código de explotación de prueba de concepto.
RedazioneDos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
