{"id":24389,"date":"2025-10-18T09:00:21","date_gmt":"2025-10-18T12:00:21","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24389"},"modified":"2025-10-28T15:10:25","modified_gmt":"2025-10-28T18:10:25","slug":"phoenix-rowhammer-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/phoenix-rowhammer-attack\/24389\/","title":{"rendered":"Phoenix: um ataque Rowhammer contra mem\u00f3ria DDR5"},"content":{"rendered":"

Em setembro de 2025, pesquisadores do ETH Zurich (Instituto Federal de Tecnologia da Su\u00ed\u00e7a) publicaram um artigo<\/a> apresentando o Phoenix, uma modifica\u00e7\u00e3o do ataque Rowhammer que funciona em m\u00f3dulos de mem\u00f3ria DDR5. Os autores n\u00e3o apenas demonstraram a efic\u00e1cia do novo ataque em 15 m\u00f3dulos testados, como tamb\u00e9m propuseram tr\u00eas casos de uso pr\u00e1ticos: leitura e escrita de dados na mem\u00f3ria, roubo de uma chave privada de criptografia armazenada na mem\u00f3ria e contorno das prote\u00e7\u00f5es do utilit\u00e1rio sudo do Linux para escalonamento de privil\u00e9gios.<\/p>\n

O ataque de Rowhammer: uma breve hist\u00f3ria<\/h2>\n

Para entender este estudo bastante complexo, \u00e9 necess\u00e1rio revisitar brevemente a hist\u00f3ria do Rowhammer. O ataque Rowhammer foi descrito pela primeira vez em um artigo<\/a> de 2014. Naquela \u00e9poca, pesquisadores da Carnegie Mellon University e da Intel mostraram como o acesso repetido a linhas de c\u00e9lulas de mem\u00f3ria poderia causar altera\u00e7\u00f5es em c\u00e9lulas de mem\u00f3ria adjacentes. Essas c\u00e9lulas vizinhas podem conter dados cr\u00edticos, cuja altera\u00e7\u00e3o poderia ter consequ\u00eancias graves, como escalonamento de privil\u00e9gios.<\/p>\n

Isso acontece porque cada c\u00e9lula em um chip de mem\u00f3ria \u00e9 essencialmente um capacitor: um componente simples que pode armazenar carga el\u00e9trica apenas por um curto per\u00edodo. \u00c9 por isso que essa mem\u00f3ria \u00e9 vol\u00e1til: ao desligar o computador ou servidor, os dados desaparecem. Pelo mesmo motivo, a carga nas c\u00e9lulas deve ser atualizada com frequ\u00eancia, mesmo que ningu\u00e9m esteja acessando aquela regi\u00e3o de mem\u00f3ria<\/em>.<\/p>\n

As c\u00e9lulas de mem\u00f3ria n\u00e3o s\u00e3o isoladas; elas s\u00e3o organizadas em linhas e colunas, interconectadas de maneiras que podem causar interfer\u00eancia. Acessar uma linha pode afetar uma linha vizinha, por exemplo, atualizar uma linha pode corromper dados em outra. Durante anos, esse efeito era conhecido apenas pelos fabricantes de mem\u00f3ria, que faziam o poss\u00edvel para mitig\u00e1-lo e melhorar a confiabilidade. Mas, \u00e0 medida que as c\u00e9lulas se tornaram menores e, portanto, mais compactadas, o efeito de \u201cmartelamento de linha\u201d passou a ser explor\u00e1vel em ataques reais.<\/p>\n

Depois que o ataque Rowhammer foi demonstrado, os desenvolvedores de mem\u00f3ria come\u00e7aram a implementar defesas, resultando na tecnologia de hardware Target Row Refresh (TRR). Na teoria, o TRR funciona de forma simples: monitora acessos agressivos \u00e0s linhas de mem\u00f3ria e, se detectados, for\u00e7a a atualiza\u00e7\u00e3o das linhas adjacentes. Na pr\u00e1tica, ele n\u00e3o foi t\u00e3o eficaz. Em 2021, os pesquisadores descreveram o ataque Blacksmith<\/a>, que contornava o TRR usando padr\u00f5es de acesso \u00e0s c\u00e9lulas de mem\u00f3ria mais sofisticados.<\/p>\n

Os desenvolvedores, ent\u00e3o, se adaptaram novamente, adicionando defesas ainda mais avan\u00e7adas contra ataques semelhantes ao Rowhammer em m\u00f3dulos DDR5 e aumentando a frequ\u00eancia de atualiza\u00e7\u00e3o aplicada. Para dificultar novos ataques, os fabricantes tamb\u00e9m evitaram divulgar quais contramedidas haviam sido implementadas. Isso levou muitos a acreditar que o DDR5 havia efetivamente resolvido o problema do Rowhammer. No entanto, apenas no ano passado, pesquisadores tamb\u00e9m do ETH Zurich conseguiram atacar com sucesso<\/a> m\u00f3dulos DDR5, embora sob certas condi\u00e7\u00f5es: a mem\u00f3ria precisava estar emparelhada com CPUs AMD Zen 2 ou Zen 3 e, mesmo assim, alguns m\u00f3dulos permaneceram intocados.<\/p>\n

Caracter\u00edsticas do novo ataque<\/h2>\n

Para desenvolver o Phoenix, os pesquisadores fizeram a engenharia reversa do mecanismo TRR. Eles analisaram seu comportamento sob v\u00e1rios padr\u00f5es de acesso \u00e0 linha de mem\u00f3ria e verificaram se a prote\u00e7\u00e3o era acionada para linhas adjacentes. Descobriu-se que o TRR se tornou significativamente mais complexo e os padr\u00f5es de acesso anteriormente conhecidos n\u00e3o funcionam mais: a prote\u00e7\u00e3o, agora, sinaliza corretamente esses padr\u00f5es como potencialmente perigosos e for\u00e7a a atualiza\u00e7\u00e3o das linhas adjacentes. Como resultado, os pesquisadores descobriram que, ap\u00f3s 128 acessos monitorados pelo TRR, surge uma \u201cjanela de oportunidade\u201d de 64 acessos, durante a qual as defesas s\u00e3o mais fracas. N\u00e3o \u00e9 que o sistema de prote\u00e7\u00e3o falhe completamente, mas suas respostas s\u00e3o insuficientes para evitar uma altera\u00e7\u00e3o de valor em uma c\u00e9lula de mem\u00f3ria alvo. A segunda janela surge ap\u00f3s acessar c\u00e9lulas de mem\u00f3ria ao longo de 2.608 intervalos de atualiza\u00e7\u00e3o.<\/p>\n

Os pesquisadores, ent\u00e3o, estudaram esses pontos vulner\u00e1veis em detalhe para realizar um ataque altamente direcionado \u00e0s c\u00e9lulas de mem\u00f3ria, neutralizando as defesas. Simplificando, o ataque funciona assim: um c\u00f3digo malicioso realiza uma s\u00e9rie de acessos fict\u00edcios que efetivamente induzem o TRR a uma falsa sensa\u00e7\u00e3o de seguran\u00e7a. Em seguida, ocorre a fase ativa do ataque, que modifica o valor da c\u00e9lula alvo. Como resultado, a equipe confirmou que o ataque funcionou de forma confi\u00e1vel contra todos os 15 m\u00f3dulos DDR5 testados, fabricados pela SK Hynix, uma das l\u00edderes de mercado.<\/p>\n

Tr\u00eas cen\u00e1rios de ataque do mundo real<\/h2>\n

Um ataque realista deve alterar um valor em uma regi\u00e3o de mem\u00f3ria definida com precis\u00e3o, o que \u00e9 uma tarefa dif\u00edcil. Em primeiro lugar, o invasor precisa de conhecimento detalhado do software alvo. \u00c9 preciso contornar v\u00e1rios controles de seguran\u00e7a convencionais, e um erro de apenas um ou dois bits pode provocar a queda do sistema em vez de permitir a invas\u00e3o.<\/p>\n

Os pesquisadores su\u00ed\u00e7os decidiram demonstrar que o Phoenix poderia ser usado para causar danos no mundo real. Eles avaliaram tr\u00eas cen\u00e1rios de ataque. O primeiro (PTE) envolveu o acesso \u00e0 tabela de p\u00e1ginas para criar condi\u00e7\u00f5es para leitura\/grava\u00e7\u00e3o arbitr\u00e1ria de dados de RAM. O segundo (RSA) teve como objetivo roubar uma chave de criptografia privada RSA-2048 da mem\u00f3ria. O terceiro (sudo) envolveu contornar as prote\u00e7\u00f5es do utilit\u00e1rio Linux sudo visando ao escalonamento de privil\u00e9gios. Os resultados finais do estudo s\u00e3o apresentados nesta tabela:<\/p>\n

\"Efetividade<\/a>

Efetividade do ataque Phoenix. Fonte<\/a><\/p><\/div>\n

Para alguns m\u00f3dulos, a primeira variante de ataque (128 intervalos de atualiza\u00e7\u00e3o) foi eficaz, enquanto para outros apenas o m\u00e9todo da segunda variante (2.608 intervalos) funcionou. Em alguns experimentos, o roubo da chave RSA e os exploits do sudo n\u00e3o tiveram sucesso. Contudo, identificou-se um m\u00e9todo que permite leitura\/grava\u00e7\u00e3o arbitr\u00e1ria de mem\u00f3ria em todos os m\u00f3dulos, com tempo de explora\u00e7\u00e3o relativamente baixo (cerca de cinco segundos e sete minutos). Isso \u00e9 suficiente para demonstrar que os ataques Rowhammer representam um risco real, embora em cen\u00e1rios altamente restritos.<\/p>\n

Relev\u00e2ncia e contramedidas<\/h2>\n

O ataque Phoenix mostra que ataques do tipo Rowhammer podem ser realizados contra m\u00f3dulos DDR5 t\u00e3o efetivamente quanto contra DDR4 e DDR3. Embora apenas m\u00f3dulos de um \u00fanico fabricante tenham sido testados e os pesquisadores tenham identificado uma vulnerabilidade relativamente simples no algoritmo TRR desse fabricante (provavelmente f\u00e1cil de corrigir), trata-se de um avan\u00e7o significativo na pesquisa de seguran\u00e7a de m\u00f3dulos de mem\u00f3ria.<\/p>\n

Os autores propuseram v\u00e1rias contramedidas contra ataques do tipo Rowhammer. Primeiro, reduzir o intervalo de atualiza\u00e7\u00e3o aplicado a todas as c\u00e9lulas, o que pode dificultar significativamente o ataque. Isso pode aumentar o consumo de energia e a temperatura do chip, mas \u00e9 uma solu\u00e7\u00e3o simples e direta. Em segundo lugar, pode-se usar mem\u00f3ria com c\u00f3digo de corre\u00e7\u00e3o de erros (ECC). Isso complica os ataques de Rowhammer, mas, curiosamente, n\u00e3o os elimina por completo<\/a>.<\/p>\n

Al\u00e9m dessas medidas \u00f3bvias, os autores mencionam mais duas. O primeiro \u00e9 o m\u00e9todo de prote\u00e7\u00e3o Fine Granularity Refresh, que j\u00e1 est\u00e1 sendo implementado. Integrado no controlador de mem\u00f3ria do processador, modifica o comportamento de atualiza\u00e7\u00e3o da c\u00e9lula de mem\u00f3ria para resistir aos ataques Rowhammer. Quanto ao segundo m\u00e9todo, os pesquisadores tamb\u00e9m recomendam que desenvolvedores de m\u00f3dulos de mem\u00f3ria e chips parem de depender de medidas de seguran\u00e7a propriet\u00e1rias (\u201cseguran\u00e7a pela obscuridade\u201d). Em vez disso, eles sugerem adotar uma abordagem comum em criptografia, com algoritmos de seguran\u00e7a publicamente dispon\u00edveis e sujeitos a testes independentes.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Pesquisadores na Su\u00ed\u00e7a encontraram uma forma de atacar m\u00f3dulos de mem\u00f3ria DDR5.<\/p>\n","protected":false},"author":665,"featured_media":24390,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[1376,3178,267],"class_list":{"0":"post-24389","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-hardware","11":"tag-memoria","12":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/phoenix-rowhammer-attack\/24389\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/phoenix-rowhammer-attack\/29700\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/phoenix-rowhammer-attack\/24771\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/phoenix-rowhammer-attack\/12862\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/phoenix-rowhammer-attack\/29588\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/phoenix-rowhammer-attack\/28647\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/phoenix-rowhammer-attack\/31534\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/phoenix-rowhammer-attack\/30189\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/phoenix-rowhammer-attack\/40627\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/phoenix-rowhammer-attack\/13876\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/phoenix-rowhammer-attack\/54528\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/phoenix-rowhammer-attack\/23285\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/phoenix-rowhammer-attack\/32786\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/phoenix-rowhammer-attack\/29803\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/phoenix-rowhammer-attack\/35532\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/phoenix-rowhammer-attack\/35156\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/hardware\/","name":"hardware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24389","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24389"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24389\/revisions"}],"predecessor-version":[{"id":24395,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24389\/revisions\/24395"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24390"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24389"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24389"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24389"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}