Acceso root en 2 minutos: nueva vulnerabilidad permite control total de equipos con DDR5
La memoria más avanzada resultó vulnerable en la propia actualización.
Los especialistas de COMSEC, junto con ingenieros de Google, descubrieron una nueva variante del ataque Rowhammer, capaz de eludir la protección en los módulos DDR5 modernos fabricados por SK Hynix — la vulnerabilidad recibió el identificador CVE-2025-6202. Los especialistas mostraron un método llamado Phoenix, que explota omisiones en el mecanismo de actualización dirigida de filas de memoria y se sincroniza con miles de ciclos de refresco para provocar cambios no deseados de bits en los circuitos integrados.
Rowhammer actúa mediante accesos repetidos a filas de memoria adyacentes, generando acoplamientos eléctricos y cambiando los valores de los bits — esto da al atacante la posibilidad de corromper datos, elevar privilegios o ejecutar código arbitrario. El fabricante implementó el mecanismo Target Row Refresh (TRR), que va más allá de los ciclos estándar y añade actualizaciones adicionales ante actividad sospechosa, pero los autores de Phoenix estudiaron la implementación interna de Hynix y encontraron intervalos de refresco que no son detectados por la protección. Para compensar los eventos omitidos, Phoenix utiliza un mecanismo de sincronización autocorrectivo y patrones puntuales de «golpes» sobre filas de memoria, que abarcan intervalos de refresco de 128 y 2608, comprimidos en ranuras de activación concretas.
En las pruebas la vulnerabilidad se manifestó en los 15 módulos DDR5 de Hynix evaluados — el patrón corto de 128 intervalos resultó más eficaz y produjo más bits invertidos en promedio. A los atacantes les tomó menos de 2 minutos obtener privilegios root en un kit DDR5 comercial con la configuración predeterminada. Los investigadores también modelaron escenarios prácticos: en un ataque contra las entradas de la tabla de páginas (page-table entries, PTE) todos los productos probados resultaron vulnerables; en un intento de comprometer claves RSA-2048 de una máquina virtual vecina, el 73% de los módulos DIMM permitieron espiar datos; y la modificación del binario sudo para aumentar privilegios locales funcionó en el 33% de los chips.
El equipo subraya que la vulnerabilidad afecta a módulos fabricados entre enero de 2021 y diciembre de 2024, y se debe a problemas inherentes a la arquitectura DRAM que no pueden eliminarse por completo en las placas ya distribuidas. Como medida temporal de protección se propone triplicar el intervalo de refresco de la DRAM (tREFI), sin embargo esa medida aumenta el riesgo de inestabilidad y errores en el sistema. El artículo técnico está publicado y se presentará en el próximo IEEE Symposium on Security and Privacy, y el repositorio con materiales para reproducir los experimentos y el código PoC está disponible en GitHub.
Las huellas digitales son tu debilidad, y los hackers lo saben