LeapFrog: The Rowhammer Instruction Skip Attack

自从问世以来，Rowhammer攻击的漏洞利用已经快速发展成为越来越复杂的威胁，不仅危及数据完整性，还危及受害进程的控制流完整性。然而，攻击者仍然面临着识别易受攻击目标（即Rowhammer小工具）、了解尝试故障的结果以及制定能够产生有用结果的攻击的挑战。 在本文中，我们介绍一种新型的Rowhammer小工具，称为LeapFrog小工具。当它存在于受害代码中时，可以使攻击者颠覆代码执行，以绕过关键代码（例如身份验证检查逻辑、加密轮、安全协议中的填充）。当受害代码将程序计数器（PC）值存储在用户或内核堆栈中（例如，在函数调用期间的返回地址），Leapfrog小工具就会显现出来。当这个值被篡改时，返回地址会被重新定位到一个绕过安全关键代码模式的位置。 本研究还提出了一种系统化的过程来识别Leapfrog小工具。这种方法使得可以自动检测易受攻击的目标并确定最佳的攻击参数。我们首先通过在TLS握手客户端/服务器场景中进行实际演示，成功地在客户端应用程序中引发了一次指令跳过，展示了这种新的攻击向量。然后，我们演示了对在野代码中发现的真实世界代码的攻击，对OpenSSL进行了攻击。 我们的发现扩大了Rowhammer攻击对控制流的影响，并有助于开发更加强大的防御措施来应对这些越来越复杂的威胁。

本文试图解决Rowhammer攻击的问题，即如何利用新型的Rowhammer gadget（LeapFrog gadget）来绕过安全代码的执行，从而危及数据和控制流完整性。

本文的关键思路是通过识别并利用LeapFrog gadget，将程序计数器（PC）值篡改，从而绕过安全检查，攻击者可以实现跳过关键代码的目的。

本文提出了一种系统化的方法来识别LeapFrog gadget，使得攻击者可以自动化地检测易受攻击的目标并确定最佳攻击参数。实验展示了LeapFrog gadget的攻击效果，包括TLS握手客户端/服务器场景和OpenSSL攻击。此外，本文扩展了Rowhammer攻击对控制流的影响，为防御这些攻击提供了新思路。

在这个领域中，最近的相关研究包括《Rowhammer.js: A Remote Software-Induced Fault Attack in JavaScript》、《FLUSH+RELOAD: A High Resolution, Low Noise, L3 Cache Side-Channel Attack》等。