苏黎世联邦理工学院(ETH Zürich)计算机安全小组(COMSEC)与谷歌合作,公开了一种针对DDR5内存的概念验证攻击“凤凰”(Phoenix),漏洞编号为CVE-2025-6202。该攻击能引发内存位翻转,导致包括高阶权限提升在内的一系列漏洞。凤凰攻击巧妙地绕过了DDR5针对“行锤击”(Rowhammer)式攻击的防护措施,无论是ECC纠错技术还是片上ECC(ODECC)均无法有效防御。
值得关注的是,COMSEC仅在AMD Zen 4平台上对2021-2024年间生产的15款SK海力士DDR5内存条进行了测试。研究团队表示选择全球最大DRAM供应商的产品是因为即使借助专用FPGA测试板,分析工作仍极其耗时。这项研究是谷歌联合内存标准制定组织JEDEC共同推动内存安全提升计划的重要组成部分,也并非COMSEC首次研究内存安全问题——该团队此前曾与VUSec合作开发了TRRespass攻击。
凤凰攻击是对现有行锤击技术的融合升级:通过特定模式反复读取一组内存位置,利用电磁干扰强制至少一个比特位翻转,从而使攻击者能够窃取数据或按需修改代码。这种攻击对台式机和工作站已构成严重威胁,对于承载数千客户的大型服务器而言尤为危险。用户可通过COMSEC的凤凰项目GitHub仓库下载概念验证软件进行系统测试。
研究团队在特定测试场景中取得了100%成功率:通过操纵页表条目(PTE)获取内存禁区的访问权限;在相同服务器上的虚拟机中提取SSH登录密钥的成功率达73%;通过篡改sudo工具的内存二进制文件直接获取root权限的成功率为33%。团队在Rubicon测试套件中仅用5分19秒就完成了权限提升场景的复现。
COMSEC研究人员已于6月6日向SK海力士、CPU供应商及主要云平台披露发现,相关成果将在2026年IEEE安全与隐私会议正式发表。目前针对该漏洞(至少对测试的SK海力士内存条而言)尚无完美解决方案,但研究人员指出将UEFI中的行刷新率(tREFI)提升3倍至1.3微秒可显著降低攻击成功率。不过这种方案会导致性能损失——SPEC CPU2017测试显示性能下降达8.4%。COMSEC表示AMD客户端系统即将发布BIOS更新,但在成果发表时尚未验证其有效性。
谷歌在相关博文中指出,DDR5的目标行刷新(TRR)和ECC/ODECC技术因非确定性特性无法彻底解决问题。例如TRR机制虽能触发内存行刷新,却未精确统计访问次数,反而可能扩大攻击面。而强大的ODECC仅在数据写入或经过特定时间(通常数小时)后才校正位翻转,这意味着只需维持长时间攻击即可生效。
这些因素促使JEDEC于2024年4月推出每行访问计数(PRAC)标准,该技术将纳入未来DDR5修订版。PRAC可精确统计内存行的连续访问次数,在超出限值时向主机系统发出警报并启动缓解措施( likely刷新操作)。据悉即将发布的LPDDR6标准将从设计之初就集成PRAC技术,这项新特性有望从根本上解决行锤击漏洞的威胁。
