Дослідники з ETH Zürich та Google виявили новий варіант RowHammer-атаки, який отримав назву Phoenix. Він обходить навіть сучасні механізми захисту DDR5-пам’яті та дозволяє підняти привілеї до root на звичайній системі менш ніж за дві хвилини.
Phoenix (CVE-2025-6202, CVSS 7.1) показує, що навіть DDR5 з вбудованим ECC і Target Row Refresh (TRR) не є захищеним. Атака базується на багаторазовому зверненні до певного рядка DRAM, що викликає bit flips у сусідніх осередках пам’яті. Це може призвести до пошкодження даних або ж їхнього контрольованого підміщення.
У тестах Phoenix зміг обійти TRR на всіх 15 протестованих модулях SK Hynix, вироблених між 2021 і 2024 роками. В результаті атака дозволила:
викрасти RSA-2048 ключі віртуальної машини та зламати SSH-аутентифікацію,
використати sudo для ескалації прав до root.
Таким чином, Phoenix став першим підтвердженим RowHammer-експлойтом для DDR5-систем у робочій конфігурації. Вразливість RowHammer відома з 2014 року й з часом лише посилюється, адже щільність DRAM постійно зростає. Дослідження ETH Zürich у 2020 році довело: чим менший техпроцес, тим менше циклів потрібно для bit flip.
Попередні атаки TRRespass, SMASH, Half-Double та Blacksmith вже показали обхід базових захистів. Нещодавні роботи (OneFlip, ECC.fail) також довели, що навіть серверна ECC-пам’ять може бути вразливою. Phoenix ставить DDR5 у цей самий ряд ризиків.
Phoenix демонструє, що DDR5 не має абсолютного захисту від RowHammer. Оскільки DRAM не підлягає оновленню, уразливість залишатиметься з користувачами роками. Дослідники радять утричі збільшити частоту refresh, що у тестах зупинило атаку. Але для підприємств це означає зростання витрат і потребу в нових методах захисту.
