目前，研究人员已开发出一种新型 Rowhammer 攻击变种，能够绕过 SK Hynix DDR5 内存芯片上的最新防护机制。

Rowhammer 攻击的原理是：通过高速读写操作反复访问内存单元的特定行，产生足够强的电干扰，使相邻位（bit）的值在 0 和 1 之间异常翻转（即 " 位翻转 "）。攻击者可借此破坏数据、提升系统权限、执行恶意代码，或获取敏感数据。

针对 Rowhammer 攻击的主流防护机制之一是 " 目标行刷新（Target Row Refresh，TRR）" ——当检测到某一内存行被频繁访问时，TRR 会发出额外的刷新指令，从而防止位翻转。

针对 DDR5 的 Rowhammer 攻击：以提权为目标

瑞士苏黎世联邦理工学院计算机安全小组与谷歌的研究团队合作，开发了一种名为 "Phoenix" 的新型 DDR5 Rowhammer 攻击技术。该技术可通过触发内存芯片中的位翻转，为恶意活动创造条件。 

研究团队的测试基于 Hynix 的 DDR5 产品—— Hynix 是全球最大的内存芯片制造商之一，市场份额约 36%，但此类安全风险或同样波及其他厂商的产品。

研究人员首先对 Hynix 为抵御 Rowhammer 攻击所设计的复杂防护机制进行逆向工程，摸清其工作原理后发现：该防护机制并未对某些刷新间隔进行采样监测，这一漏洞可被攻击者利用。 

此外，团队还为 Phoenix 开发了一种同步方法：当检测到错过某次刷新操作时，攻击程序会自我修正，从而实现对数千次刷新操作的跟踪与同步。

为绕过 TRR 防护，Phoenix 攻击中的 Rowhammer 模式覆盖了 128 个和 2608 个刷新间隔，并仅在精准时机对特定 " 激活时隙 " 发起攻击。

借助这套攻击模型，研究人员成功在测试池中所有 15 块 DDR5 内存芯片上触发了位翻转，并开发出首个基于 Rowhammer 的权限提升漏洞利用程序。

测试显示，在 " 采用默认设置的商用 DDR5 系统 " 上，研究人员仅用不到两分钟就获取了具备 root 权限的 shell（命令行界面）。

实际攻击场景测试与风险范围

研究人员还探索了 Phoenix 攻击技术的实际利用可能性，以验证其能否控制目标系统：

1. 内存读写权限突破：通过攻击页表项（PTEs）构建 " 任意内存读写原语 " 时，发现所有测试产品均存在漏洞；

2. SSH 认证破解：针对共存虚拟机的 RSA-2048 密钥发起攻击，试图破坏 SSH 认证，结果显示 73% 的双列直插内存模块易受攻击；

3. 本地权限提升：通过篡改 sudo 二进制文件，尝试将本地权限提升至 root 级别，在 33% 的测试芯片上成功实现这一目标。

所有测试过的 DDR5 模块都对新的 Phoenix Rowhammer 攻击易感

测试数据表明，所有受测内存芯片均易受 Phoenix 攻击所使用的至少一种 Rowhammer 模式影响。其中，覆盖 128 个刷新间隔的较短模式效果更显著，平均触发的位翻转次数更多。

漏洞评级与防御建议

目前，Phoenix 攻击所利用的漏洞已被标记为 CVE-2025-6202，危险等级为 " 高 "，影响 2021 年 1 月至 2024 年 12 月期间生产的所有 DIMM 内存模块。

尽管 Rowhammer 是全行业性的安全问题，且无法通过修复现有内存模块彻底解决，但用户可通过将 DRAM 刷新间隔（tREFI）延长至原来的三倍，来阻止 Phoenix 攻击。不过，这种操作可能导致内存出现错误或数据损坏，进而引发系统不稳定。

研究团队已发表题为《Phoenix：基于自修正同步的 DDR5 Rowhammer 攻击》的技术论文，并计划于明年在 IEEE 安全与隐私研讨会上展示该研究成果。

此外，研究人员还公开了一个资源仓库，内含可复现 Phoenix 攻击的相关材料，包括：基于现场可编程门阵列（FPGA）逆向工程 TRR 实现的实验数据，以及概念验证漏洞利用程序的代码。