นักวิจัยจาก ETH Zurich และ Google ออกมาเปิดเผยว่า โมดูล DDR5 ของ SK hynix ยังเสี่ยงต่อการโจมตี Rowhammer รูปแบบใหม่ที่เรียกว่า “Phoenix” (CVE-2025-6202) แม้จะเป็นชิปที่มีระบบ on-die ECC ก็ตาม โดยการโจมตีนี้สามารถทำได้ในเวลาเพียง 109 วินาที ถือเป็นภัยคุกคามที่เกิดขึ้นจริงได้

กลไกการโจมตี Phoenix
ทีมวิจัยทำการรีเวิร์สเอนจิเนียริ่งกลไกป้องกัน Rowhammer (TRR) ที่อยู่ใน DRAM และพบ “จุดบอด” ของระบบรีเฟรช:

• การสุ่มตรวจ (sampling) ของ TRR จะวนซ้ำทุก ๆ 128 ช่วงเวลา tREFI

• ใน 4 ซับอินเตอร์วอล์ย่อยแรกของแต่ละรอบนั้น ช่วง 2 ซับอินเตอร์วอล์แรกถูกสุ่มตรวจอย่าง “เบา”

เมื่อรู้จุดนี้แล้ว ทีมจึงสร้าง แพทเทิร์นการยิง (hammer pattern) แบบใหม่ 2 แบบ:

1. 128-tREFI pattern (สั้นกว่า)

2. 2608-tREFI pattern (ยาวกว่า)

พร้อมพัฒนาวิธี self-correcting refresh synchronization ที่ช่วยให้การโจมตี “ล็อกจังหวะ” รีเฟรชได้แม้จะพลาดไปบ้าง ต่างจากการโจมตีเก่าอย่าง Zenhammer ที่รักษาจังหวะยาว ๆ ไม่ได้

ผลการทดสอบ
ทดสอบกับโมดูล SK hynix DDR5 จำนวน 15 ตัว (ผลิตระหว่างปลายปี 2021 – ปลายปี 2024) พบว่า ทุกตัวมีการพลิกบิต (bit flip) จากการโจมตี โดย:

• แพทเทิร์น 128-tREFI มีประสิทธิภาพเฉลี่ยดีกว่า 2.62 เท่า

• พบ การพลิกบิตหลายพันครั้งต่อ DIMM

นักวิจัยนำบิตที่พลิกไปสร้างการโจมตีจริง เช่น:

• แก้ไข page table → ได้สิทธิอ่าน/เขียนหน่วยความจำตามใจ

• ขโมยกุญแจ RSA-2048 จาก VM ข้างเคียง

• ยกระดับสิทธิ์ (Privilege Escalation) โดยแก้ไขไฟล์ sudo บน DIMMs บางรุ่น

เพื่อเพิ่มโอกาสเจาะจุดอ่อน (มีเพียง 2 จาก 128 offset ที่เสี่ยง = 1.56%) ทีมงานรัน pattern แบบเลื่อนจังหวะพร้อมกัน 4 instance ในแต่ละ bank รวม 4 bank → เพิ่มโอกาสสำเร็จเป็น 25%

วิธีบรรเทาเบื้องต้น

• ทีมวิจัยลอง เพิ่มอัตรารีเฟรช DRAM 3 เท่า (tREFI ~1.3 μs) พบว่าสามารถหยุด Phoenix ได้ แต่มีค่า overhead สูงถึง 8.4% บน SPEC CPU2017

• BIOS และเฟิร์มแวร์อัปเดต ถูกแนะนำเป็นวิธีแก้เร่งด่วน

• มีการประสานงานกับ SK hynix, ผู้ผลิต CPU และผู้ให้บริการคลาวด์ ทำให้ AMD ปล่อย BIOS update ระหว่างช่วง embargo

ทีมวิจัยยังปล่อย โค้ดทดสอบและ proof-of-concept บน GitHub สำหรับแอดมินตรวจสอบ DIMM ของตนเอง โดยย้ำว่าโค้ดนี้เพื่อการวินิจฉัย ไม่ใช่เพื่อโจมตีจริง



ที่มา : TechPowerUp