Redazione RHC : 20 Settembre 2025 15:32
È stata sviluppata una nuova variante degli attacchi Rowhammer in grado di bypassare i più recenti meccanismi di sicurezza dei chip DDR5 di SK Hynix. Denominato Phoenix, l’attacco consente l’accesso root ai sistemi basati su DDR5 in meno di due minuti.
Ricordiamo che l’ attacco Rowhammer originale è stato ideato dagli esperti della Carnegie Mellon University nel 2014. La sua essenza risiede nel fatto che una manipolazione intensa di alcune celle di memoria può causare un cambiamento nello stato dei bit nelle celle adiacenti.
Le celle di memoria memorizzano le informazioni sotto forma di cariche elettriche, che determinano il valore dei bit al loro interno, ovvero 1 o 0. A causa dell’aumentata densità delle celle, ripetuti “colpi di martello” (quando un’applicazione accede alle stesse aree migliaia di volte in una frazione di secondo) possono modificare lo stato di carica nelle righe adiacenti, causando “bit flip”. Da qui il nome “Rowhammer”.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Uno dei meccanismi di difesa contro gli attacchi Rowhammer è chiamato Target Row Refresh (TRR). Previene il bit flipping attivando ulteriori aggiornamenti di riga quando vengono rilevati accessi frequenti a una riga specifica.
L’attacco Phoenix rowhammer è stato sviluppato da Google e dal team COMSEC del Politecnico Federale Svizzero di Zurigo (ETH Zurich). Il rapporto sottolinea che l’attacco è stato testato sui chip di memoria DDR5 di Hynix (uno dei maggiori produttori di chip di memoria, con una quota di mercato di circa il 36%), ma Phoenix potrebbe minacciare anche i prodotti di altri produttori.
Dopo aver analizzato le sofisticate difese implementate da Hynix per proteggersi dagli attacchi Rowhammer e averne esaminato il funzionamento, i ricercatori hanno scoperto che alcuni intervalli di aggiornamento non erano monitorati dalle difese, il che avrebbe potuto essere sfruttato da un ipotetico aggressore.
Gli esperti hanno anche sviluppato un metodo che consente a Phoenix di tracciare e sincronizzare migliaia di operazioni di aggiornamento, eseguendo l’autocorrezione quando ne vengono rilevate di mancanti. Per aggirare la protezione TRR, Phoenix si estende su intervalli di aggiornamento di 128 e 2608 e agisce solo su specifici slot di attivazione in momenti specifici.
Di conseguenza, i ricercatori sono riusciti a “invertire” i bit su tutti i 15 chip di memoria DDR5 nel pool di test e a creare un exploit di escalation dei privilegi utilizzando Rowhammer. I test hanno dimostrato che ottenere una shell di root “su un tipico sistema DDR5 con impostazioni predefinite” ha richiesto solo 109 secondi.
Gli autori di Phoenix hanno anche esplorato la potenziale applicazione pratica di questo attacco per ottenere il controllo di un sistema bersaglio. Hanno scoperto che, quando si prendevano di mira le PTE per creare primitive di lettura/scrittura arbitrarie, tutti i prodotti testati presentavano la vulnerabilità. In un altro test, i ricercatori hanno preso di mira le chiavi RSA-2048 delle macchine virtuali per decifrare l’autenticazione SSH e hanno scoperto che il 73% dei moduli DIMM era vulnerabile a tale attacco.
In un terzo esperimento, i ricercatori hanno scoperto di poter modificare il binario sudo per elevare i privilegi locali al livello root sul 33% dei chip testati. Come mostra la tabella, tutti i chip di memoria testati erano vulnerabili ad almeno uno dei pattern Rowhammer dell’attacco Phoenix. Il pattern più breve, con intervalli di aggiornamento di 128, si è dimostrato più efficace e ha generato in media più flip.
Al problema Phoenix è stato assegnato l’identificatore CVE-2025-6202 e gli autori dell’attacco avvertono che riguarda tutti i moduli RAM DIMM prodotti tra gennaio 2021 e dicembre 2024.
Sebbene Rowhammer sia un problema di sicurezza diffuso a livello di settore e non possa essere risolto con patch nei moduli di memoria attualmente in commercio, gli utenti possono proteggersi da Phoenix triplicando l’intervallo di aggiornamento della DRAM (tREFI). Tuttavia, è stato notato che questo può causare errori e corruzione dei dati, con conseguente instabilità complessiva del sistema.
Oltre a un rapporto dettagliato sul nuovo attacco, i ricercatori hanno pubblicato su GitHub tutto il necessario per riprodurre Phoenix. Il repository include esperimenti FPGA per l’inversione delle implementazioni TRR e codice di exploit proof-of-concept.
RedazioneL’interruzione dei servizi cloud di Microsoft, avvenuta poche ore prima della pubblicazione dei risultati trimestrali, è solo l’ultimo episodio di una lunga serie di blackout che stanno mettendo ...
Il Dipartimento dell’Energia degli Stati Uniti (DOE) ha avviato una collaborazione strategica con Nvidia e Oracle per costruire sette supercomputer di nuova generazione basati sull’intelligenza ar...
Una interruzione del servizio DNS è stata rilevata il 29 ottobre 2025 da Microsoft, con ripercussioni sull’accesso ai servizi fondamentali come Microsoft Azure e Microsoft 365. Un’ anomalia è st...
Per la seconda volta negli ultimi mesi, Google è stata costretta a smentire le notizie di una massiccia violazione dei dati di Gmail. La notizia è stata scatenata dalle segnalazioni di un “hacking...
Il panorama della sicurezza informatica è stato recentemente scosso dalla scoperta di una vulnerabilità critica di tipo Remote Code Execution (RCE) nel servizio Windows Server Update Services (WSUS)...
