Redazione RHC : 20 Settembre 2025 15:32
È stata sviluppata una nuova variante degli attacchi Rowhammer in grado di bypassare i più recenti meccanismi di sicurezza dei chip DDR5 di SK Hynix. Denominato Phoenix, l’attacco consente l’accesso root ai sistemi basati su DDR5 in meno di due minuti.
Ricordiamo che l’ attacco Rowhammer originale è stato ideato dagli esperti della Carnegie Mellon University nel 2014. La sua essenza risiede nel fatto che una manipolazione intensa di alcune celle di memoria può causare un cambiamento nello stato dei bit nelle celle adiacenti.
Le celle di memoria memorizzano le informazioni sotto forma di cariche elettriche, che determinano il valore dei bit al loro interno, ovvero 1 o 0. A causa dell’aumentata densità delle celle, ripetuti “colpi di martello” (quando un’applicazione accede alle stesse aree migliaia di volte in una frazione di secondo) possono modificare lo stato di carica nelle righe adiacenti, causando “bit flip”. Da qui il nome “Rowhammer”.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Uno dei meccanismi di difesa contro gli attacchi Rowhammer è chiamato Target Row Refresh (TRR). Previene il bit flipping attivando ulteriori aggiornamenti di riga quando vengono rilevati accessi frequenti a una riga specifica.
L’attacco Phoenix rowhammer è stato sviluppato da Google e dal team COMSEC del Politecnico Federale Svizzero di Zurigo (ETH Zurich). Il rapporto sottolinea che l’attacco è stato testato sui chip di memoria DDR5 di Hynix (uno dei maggiori produttori di chip di memoria, con una quota di mercato di circa il 36%), ma Phoenix potrebbe minacciare anche i prodotti di altri produttori.
Dopo aver analizzato le sofisticate difese implementate da Hynix per proteggersi dagli attacchi Rowhammer e averne esaminato il funzionamento, i ricercatori hanno scoperto che alcuni intervalli di aggiornamento non erano monitorati dalle difese, il che avrebbe potuto essere sfruttato da un ipotetico aggressore.
Gli esperti hanno anche sviluppato un metodo che consente a Phoenix di tracciare e sincronizzare migliaia di operazioni di aggiornamento, eseguendo l’autocorrezione quando ne vengono rilevate di mancanti. Per aggirare la protezione TRR, Phoenix si estende su intervalli di aggiornamento di 128 e 2608 e agisce solo su specifici slot di attivazione in momenti specifici.
Di conseguenza, i ricercatori sono riusciti a “invertire” i bit su tutti i 15 chip di memoria DDR5 nel pool di test e a creare un exploit di escalation dei privilegi utilizzando Rowhammer. I test hanno dimostrato che ottenere una shell di root “su un tipico sistema DDR5 con impostazioni predefinite” ha richiesto solo 109 secondi.
Gli autori di Phoenix hanno anche esplorato la potenziale applicazione pratica di questo attacco per ottenere il controllo di un sistema bersaglio. Hanno scoperto che, quando si prendevano di mira le PTE per creare primitive di lettura/scrittura arbitrarie, tutti i prodotti testati presentavano la vulnerabilità. In un altro test, i ricercatori hanno preso di mira le chiavi RSA-2048 delle macchine virtuali per decifrare l’autenticazione SSH e hanno scoperto che il 73% dei moduli DIMM era vulnerabile a tale attacco.
In un terzo esperimento, i ricercatori hanno scoperto di poter modificare il binario sudo per elevare i privilegi locali al livello root sul 33% dei chip testati. Come mostra la tabella, tutti i chip di memoria testati erano vulnerabili ad almeno uno dei pattern Rowhammer dell’attacco Phoenix. Il pattern più breve, con intervalli di aggiornamento di 128, si è dimostrato più efficace e ha generato in media più flip.
Al problema Phoenix è stato assegnato l’identificatore CVE-2025-6202 e gli autori dell’attacco avvertono che riguarda tutti i moduli RAM DIMM prodotti tra gennaio 2021 e dicembre 2024.
Sebbene Rowhammer sia un problema di sicurezza diffuso a livello di settore e non possa essere risolto con patch nei moduli di memoria attualmente in commercio, gli utenti possono proteggersi da Phoenix triplicando l’intervallo di aggiornamento della DRAM (tREFI). Tuttavia, è stato notato che questo può causare errori e corruzione dei dati, con conseguente instabilità complessiva del sistema.
Oltre a un rapporto dettagliato sul nuovo attacco, i ricercatori hanno pubblicato su GitHub tutto il necessario per riprodurre Phoenix. Il repository include esperimenti FPGA per l’inversione delle implementazioni TRR e codice di exploit proof-of-concept.
RedazioneNegli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...
