{"id":32786,"date":"2025-10-13T10:29:57","date_gmt":"2025-10-13T08:29:57","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32786"},"modified":"2025-10-20T13:11:25","modified_gmt":"2025-10-20T11:11:25","slug":"phoenix-rowhammer-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/phoenix-rowhammer-attack\/32786\/","title":{"rendered":"Phoenix: Rowhammer-Angriff gegen DDR5-Speicher"},"content":{"rendered":"

Im September 2025 ver\u00f6ffentlichten Forscher der ETH Z\u00fcrich einen Studie<\/a> \u00fcber Phoenix, eine Modifikation des Rowhammer-Angriffs, die mit DDR5-Speichermodulen funktioniert. Die Autoren demonstrierten nicht nur, wie effektiv der neue Angriff gegen 15 getestete Module ist, sondern schlugen auch drei praktische Anwendungsf\u00e4lle vor: Lesen und Schreiben von Daten aus dem Speicher, Diebstahl eines im Speicher abgelegten privaten Chiffrierschl\u00fcssels und Umgehung der sudo-Schutzfunktionen von Linux, um Berechtigungen zu erweitern.<\/p>\n

Wie der Rowhammer-Angriff funktioniert<\/h2>\n

Diese ziemlich komplexe Studie l\u00e4sst sich besser verstehen, wenn man die Geschichte von Rowhammer zumindest ansatzweise kennt. Der Rowhammer-Angriff wurde 2014 erstmals in einer Studie<\/a> beschrieben. Damals zeigten Wissenschaftler der Carnegie Mellon University (USA) und Intel-Forscher, wie ein wiederholter Zugriff auf Speicherzeilen dazu f\u00fchren kann, dass benachbarte Speicherzellen ihren Wert \u00e4ndern. Benachbarte Zeilen k\u00f6nnen kritische Daten enthalten, bei \u00c4nderungen w\u00e4ren also schwerwiegende Folgen m\u00f6glich (z.\u00a0B. eine Ausweitung der Berechtigungen).<\/p>\n

Das Ph\u00e4nomen geht darauf zur\u00fcck, dass die Zellen eines Speicherchips eigentlich Kondensatoren sind: einfache Bauteile, die eine elektrische Ladung nur f\u00fcr kurze Zeit halten k\u00f6nnen. Deshalb ist dieser Speicher fl\u00fcchtig: Sobald der Computer oder Server ausgeschaltet wird, sind die Daten verschwunden. Aus dem gleichen Grund muss die Ladung in den Zellen h\u00e4ufig aufgefrischt werden\u00a0\u2013 selbst wenn niemand auf einen Speicherbereich zugreift<\/em>.<\/p>\n

Speicherzellen sind nicht voneinander isoliert. Sie sind in Zeilen und Spalten angeordnet und auf eine Weise miteinander verbunden, die St\u00f6rungen bewirken kann. Der Zugriff auf eine Zeile kann sich auch auf eine benachbarte Zeile auswirken. Wenn beispielsweise eine Zeile aktualisiert wird, k\u00f6nnen die Daten in einer anderen besch\u00e4digt werden. Dieser Effekt war jahrelang nur den Speicherherstellern bekannt, die alles taten, um ihn abzuschw\u00e4chen und die Zuverl\u00e4ssigkeit zu erh\u00f6hen. Da die Zellen jedoch immer kleiner werden und damit enger zusammenr\u00fccken, wurde der Rowhammer-Effekt f\u00fcr reale Angriffe nutzbar.<\/p>\n

Nachdem der Rowhammer-Angriff demonstriert worden war, ergriffen die Speicherentwickler verschiedene Schutzma\u00dfnahmen, so etwa die Hardware-Technologie \u201eTarget Row Refresh\u201c (TRR). In der Theorie ist dies einfach: TRR \u00fcberwacht den aggressiven Zugriff auf Zeilen. Wird ein solcher Zugriff erkannt, werden benachbarte Zeilen zwangsweise aktualisiert. In der Praxis ist es jedoch schwieriger. 2021 beschrieben Forscher den Blacksmith-Angriff<\/a>, bei dem TRR mithilfe komplexerer Zugriffsmuster auf Speicherzellen \u00fcberlistet wurde.<\/p>\n

Die Entwickler passten ihr Vorgehen erneut an: Sie f\u00fcgten noch komplexere Abwehrma\u00dfnahmen gegen Rowhammer-\u00e4hnliche Angriffe in DDR5-Modulen hinzu und erh\u00f6hten die erzwungene Aktualisierungsfrequenz. Um neuen Angriffen zuvorzukommen, hielten die Hersteller ihre Gegenma\u00dfnahmen geheim. Jedenfalls wurde angenommen, dass das Rowhammer-Problem f\u00fcr DDR5 effektiv gel\u00f6st war. Erst im vergangenen Jahr gelang es Forschern der ETH Z\u00fcrich jedoch, DDR5-Module erfolgreich anzugreifen<\/a>, wenn auch unter speziellen Bedingungen: Der Speicher musste mit AMD Zen 2- oder Zen 3-CPUs verbunden sein, und selbst dann waren einige Module immun.<\/p>\n

Merkmale des neuen Angriffs<\/h2>\n

F\u00fcr die Entwicklung des Phoenix-Angriffs bauten die Forscher den TRR-Mechanismus nach. Sie analysierten, wie sich TRR bei verschiedenen Zugriffsmustern auf Speicherzeilen verhielt, und pr\u00fcften, ob der Schutz f\u00fcr benachbarte Zeilen ausgel\u00f6st wurde. Wie sich herausstellte, ist TRR erheblich komplexer geworden und bereits bekannte Zugriffsmuster funktionieren nicht mehr.\u00a0\u2013 Der neue Schutz kennzeichnet solche Muster als potenziell gef\u00e4hrlich und aktualisiert benachbarte Zeilen zwangsweise. Die Forscher stellten fest: Nach 128 Speicherzugriffen, die mit TRR verfolgt werden, tritt ein \u201eFenster der M\u00f6glichkeiten\u201c von 64 Zugriffen auf, w\u00e4hrend dem die Abwehr schw\u00e4cher ist. Das Schutzsystem versagt zwar nicht komplett, seine Reaktionen k\u00f6nnen jedoch nicht verhindern, dass eine Zielspeicherzelle ver\u00e4ndert wird. Das zweite \u201eFenster\u201c erscheint nach 2.608 Aktualisierungsintervallen.<\/p>\n

Die Forscher untersuchten die gefundenen Schwachstellen noch genauer: Sie wollten die Abwehrmechanismen ausschalten und bestimmte Speicherzeilen gezielt angreifen. Vereinfacht ausgedr\u00fcckt funktioniert der Angriff so: Der Schadcode f\u00fchrt eine Reihe von Scheinzugriffen aus, damit sich der TRR-Mechanismus in falscher Sicherheit wiegt. Dann folgt die aktive Angriffsphase, in der die Daten der Zielzelle ver\u00e4ndert werden. Dadurch konnte das Team best\u00e4tigen, dass der Angriff gegen alle 15 getesteten DDR5-Module des Marktf\u00fchrers SK Hynix zuverl\u00e4ssig funktionierte.<\/p>\n

Drei realistische Angriffsszenarien<\/h2>\n

Damit ein Angriff als realistisch gilt, muss ein Wert in einem genau definierten Speicherbereich ge\u00e4ndert werden\u00a0\u2013 eine ziemlich schwierige Aufgabe. Der Angreifer muss sich wirklich gut mit der Software auskennen, die gehackt werden soll. Er muss mehrere standardm\u00e4\u00dfige Sicherheitsvorkehrungen aushebeln, und wenn er das Ziel auch nur um ein oder zwei Bits verfehlt, kann das System abst\u00fcrzen und der Hack war erfolglos.<\/p>\n

Die Schweizer Forscher wollten beweisen, dass mit Phoenix echte Sch\u00e4den angerichtet werden k\u00f6nnen. Dazu untersuchten Sie drei Angriffsszenarien. Das erste (PTE) beinhaltete den Zugriff auf die Seitentabelle, um Voraussetzungen f\u00fcr das beliebige Lesen\/Schreiben von RAM-Daten zu schaffen. Die zweite Methode (RSA) hatte das Ziel, einen privaten RSA-2048-Chiffrierschl\u00fcssel aus dem Speicher zu stehlen. Bei der dritten Methode (sudo) wurden die Schutzma\u00dfnahmen des standardm\u00e4\u00dfigen Linux-Dienstprogramms sudo umgangen, um Berechtigungen zu eskalieren. Die Ergebnisse der Studie sind in dieser Tabelle zusammengefasst:<\/p>\n

\"Effektivit\u00e4t<\/a>

Effektivit\u00e4t des Ph\u00f6nix-Angriffs. Quelle<\/a><\/p><\/div>\n

F\u00fcr einige Module war die erste Angriffsvariante (128 Aktualisierungsintervalle) effektiv, w\u00e4hrend f\u00fcr andere nur die zweite Methode (2.608 Intervalle) funktionierte. In einigen Versuchen gelangen der Diebstahl von RSA-Schl\u00fcsseln und sudo-Exploits nicht. F\u00fcr alle Module wurde jedoch eine Methode zum willk\u00fcrlichen Lesen\/Schreiben im Speicher gefunden, und die Exploit-Dauer war f\u00fcr diese Angriffsklasse relativ kurz\u00a0\u2013 von f\u00fcnf Sekunden bis zu sieben Minuten. Damit wurde gezeigt, dass Rowhammer-Angriffe ein echtes Risiko darstellen kann, wenn auch nur bei einer geringen Anzahl von Szenarien.<\/p>\n

Relevanz und Gegenma\u00dfnahmen<\/h2>\n

Der Phoenix-Angriff hat gezeigt, dass Rowhammer-Angriffe gegen DDR5-Module genauso effektiv sein k\u00f6nnen wie gegen DDR4 und DDR3. Zwar gibt es einige Einschr\u00e4nkungen: Nur Module eines einzigen Herstellers wurden getestet und die Forscher entdeckten im entsprechenden TRR-Algorithmus eine relativ simple Schwachstelle, die sich h\u00f6chstwahrscheinlich leicht beheben l\u00e4sst. Trotzdem ist dies ein wichtiger Schritt in der Sicherheitsforschung von Speichermodulen.<\/p>\n

Die Autoren schlugen mehrere Abwehrma\u00dfnahmen gegen Rowhammer-Angriffe vor. Erstens: Verringerung des erzwungenen Aktualisierungsintervalls f\u00fcr alle Zellen, um den Angriff zu erschweren. Diese L\u00f6sung kann den Stromverbrauch und die Chiptemperatur erh\u00f6hen, ist aber leicht zu verwirklichen. Zweitens: Verwendung eines Speichers mit Fehlererkennung und -korrektur (ECC). Auch dies erschwert Rowhammer-Angriffe, macht sie aber paradoxerweise nicht v\u00f6llig unm\u00f6glich<\/a>.<\/p>\n

Neben diesen offensichtlichen Ma\u00dfnahmen erw\u00e4hnen die Autoren noch zwei weitere. Die erste Schutzmethode hei\u00dft \u201eFine Granularity Refresh\u201c und wird bereits implementiert. Sie ist in den Speicher-Controller des Prozessors integriert und modifiziert das Aktualisierungsverhalten der Speicherzellen, um Rowhammer-Angriffe abzuwehren. Als zweite Ma\u00dfnahme schlagen die Forscher den Entwicklern von Speichermodulen und Chips vor, sich nicht l\u00e4nger auf propriet\u00e4re Sicherheitsma\u00dfnahmen zu verlassen (\u201eSicherheit durch Geheimhaltung\u201c). Als Alternative empfehlen sie einen Ansatz, der in der Kryptografie \u00fcblich ist: Dort werden Sicherheitsalgorithmen \u00f6ffentlich zug\u00e4nglich gemacht und unabh\u00e4ngigen Tests unterzogen.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Schweizer Forscher haben herausgefunden, wie DDR5-Speichermodule angegriffen werden k\u00f6nnen.<\/p>\n","protected":false},"author":665,"featured_media":32791,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[1406,1498,4081],"class_list":{"0":"post-32786","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-hardware","11":"tag-schwachstellen","12":"tag-speicher"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/phoenix-rowhammer-attack\/32786\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/phoenix-rowhammer-attack\/29700\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/phoenix-rowhammer-attack\/24771\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/phoenix-rowhammer-attack\/12862\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/phoenix-rowhammer-attack\/29588\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/phoenix-rowhammer-attack\/28647\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/phoenix-rowhammer-attack\/31534\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/phoenix-rowhammer-attack\/30189\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/phoenix-rowhammer-attack\/40627\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/phoenix-rowhammer-attack\/13876\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/phoenix-rowhammer-attack\/54528\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/phoenix-rowhammer-attack\/23285\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/phoenix-rowhammer-attack\/24389\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/phoenix-rowhammer-attack\/29803\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/phoenix-rowhammer-attack\/35532\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/phoenix-rowhammer-attack\/35156\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/hardware\/","name":"Hardware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32786","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32786"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32786\/revisions"}],"predecessor-version":[{"id":32825,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32786\/revisions\/32825"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32791"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}