GDDRHammer و GeForge: هجومان جديدان من نوع Rowhammer على وحدات معالجة الرسومات

النقاط الرئيسية:
  • قام الباحثون بتطوير تقنيات لتضخيم هجمات Rowhammer على ذاكرة GDDR6، مما أدى إلى تحقيق آلاف التغييرات في البتات.
  • تتلاعب هجمات GDDRHammer و GeForge بمخصص الذاكرة لوضع جداول الصفحات في القطاعات المعرضة للخطر.
  • يسمح تغيير بت واحد في جدول الصفحات للمهاجم بإعادة توجيه مؤشرات الذاكرة إلى الهياكل التي يتحكم بها المهاجم.
  • من خلال تعديل حقل فتح النظام في إدخال الجدول، تحصل وحدة معالجة الرسومات على إمكانية الوصول المباشر للقراءة والكتابة إلى الذاكرة الفعلية للمضيف.
  • تؤثر هذه الثغرة الأمنية على نماذج مثل RTX 3060 و RTX A6000، مما يتطلب تفعيل IOMMU كإجراء دفاعي أساسي.
David Y. NaranjoActualizado ش

5 دقيقة

هجمات Rowhammer على وحدة معالجة الرسومات

أظهر باحثو الأمن أن يشكل ضعف روهامر الجسدي تهديدًا خطيرًا بالنسبة لوحدات معالجة الرسومات الحديثة، والتي تتميز بسلسلتين كاملتين من الهجمات تسمى GeForce و GDDRHammerبخلاف الأبحاث الأولية التي بالكاد نجحت في إحداث قدر ضئيل من التغييرات في البتات لتدهور استنتاج الشبكات العصبية، فإن هذه الأنواع الجديدة من الهجمات تحقق اختراقًا مطلقًا على مستوى النظام.

عند تشغيل التعليمات البرمجية القياسية غير المميزة على وحدة معالجة الرسومات NVIDIA، يمكن للمهاجم إتلاف هياكل الذاكرة الداخلية للجهاز للحصول على صلاحيات قراءة وكتابة عشوائية. عبر كامل الذاكرة الفعلية لوحدة المعالجة المركزية المضيفة. يسمح هذا التلاعب المتبادل للمهاجم برفع مستوى صلاحياته والحصول على وحدة تحكم المستخدم المتميز على نظام التشغيل الأساسي.

التهرب من إجراءات التخفيف والأنماط

يعتمد نجاح هذه الهجمات على تقنيات غير مسبوقة. للتحايل على إجراءات تخفيف تحديث الصف المستهدف (TRR) المطبقة في ذاكرة GDDR6. بحث GeForge يُقدّم أنماطًا غير منتظمة تمتد عبر فترات تحديث متعددة.، مع تغيير شدة وترتيب تنشيط صفوف الذاكرة لتجنب اكتشاف الأجهزة.

لتطبيق خرائط العناوين الفيزيائية التي تم الحصول عليها من خلال التنميط غير المتصل بالإنترنت على تخصيصات الذاكرة الديناميكية، لقد طوروا تقنية تثبيت الصفحات التي تستغل التخصيص غير الخطي من العناوين الفيزيائية إلى مجموعات ذاكرة التخزين المؤقت من المستوى الثاني.

معا، اكتشف فريق GDDRHammer أن صفوف ذاكرة DRAM على بطاقات الرسومات وهي تتبع ترتيبًا هندسيًا غير رتيبسمح لهم ذلك بإنشاء أنماط ثنائية الجوانب عالية الفعالية على الرغم من أن العناوين الفيزيائية بدت متباعدة. ومن خلال تخصيص مهام بنك الذاكرة الفردية لمعالجات متعددة التدفق مختلفة ومزامنة التنفيذ جزئيًا، تمكنوا من زيادة أداء التنشيط إلى أقصى حد مع تجاوز أخذ العينات الآمنة.

وقد حققت هذه الأساليب نتائج هائلة؛ أحدثت طريقة GeForge تغييرات بمقدار 1,171 بت في بطاقة RTX 3060 للمستهلكين و202 بت في بطاقة RTX A6000 الاحترافية.، بينما وصل GDDRHammer إلى متوسط ​​1,032 تغييرًا لكل جيجابايت، وهو ما يمثل زيادة قدرها 64 ضعفًا مقارنة بالمحاولات السابقة.

التلاعب بجداول الصفحات ومعالجة الذاكرة

ولتحويل هذه الاضطرابات الكهربائية إلى سلاح، يستهدف المهاجمون جداول الصفحات الهرمية التي تديرها وحدة إدارة الذاكرة الخاصة بوحدة معالجة الرسومات.لأن وحدة التحكم عادة ما تخصص هذه الهياكل في مناطق محمية أو غير متوقعة، فإن عمليات الاستغلال تعتمد على تقنيات معالجة الذاكرة لإجبار وضع إدخالات جدول الصفحات في مواقع فعلية يعرف المهاجم أنها عرضة للخطر.

الهجوم يستخدم GDDRHammer تعيينات الذاكرة المشتركة لإغراق مُخصِّص الذاكرة، مما يؤدي إلى تقصير الفجوة بين مناطق جدول الصفحات والذاكرة التي يتحكم بها المستخدم. يركز برنامج GeForge تحديدًا على إتلاف الإدخالات في دليل الصفحات 0 (PD0).

من خلال تخصيص وتحرير أجزاء من الذاكرة الافتراضية الموحدة بعناية، يوجه المهاجم عملية إنشاء هياكل PD0 جديدة مباشرةً إلى صفحة فرعية محددة بحجم 4 كيلوبايت. وبمجرد وصولها إلى هذا الموقع، تُغير العملية بتًا واحدًا ضمن مؤشر العنوان الفعلي للمدخل، مُعيدًا توجيهه إلى جدول صفحات مزيف يتحكم فيه البرنامج الخبيث بالكامل.

تصعيد الامتيازات عبر ناقل PCIe

El إن التحكم في جدول صفحات بطاقة الرسومات يترجم مباشرة إلى التحكم في المعالج المركزي للكمبيوتر.تحتوي إدخالات جدول صفحات NVIDIA على حقل فتح محدد يحدد ما إذا كان العنوان الفعلي المرتبط موجودًا في الذاكرة المحلية للجهاز أو في ذاكرة النظام المضيف. عن طريق تغيير هذا الحقل في الإدخال المزور، أي عملية القراءة أو الكتابة يتم توجيه البيانات التي تولدها وحدة معالجة الرسومات عبر ناقل PCIe مباشرة إلى ذاكرة الوصول العشوائي الفعلية. من المضيف.

يؤدي هذا الوصول المباشر إلى الذاكرة إلى تجاوز وحدة إدارة الذاكرة الخاصة بوحدة المعالجة المركزية وحماية النسخ والكتابة لنظام التشغيل. في عرضها العملي، الباحثون استخدموا هذه الإمكانية للكتابة فوق جزء من كود مكتبة C القياسية مباشرة في ذاكرة المضيف. وعلى وجه التحديد، قاموا بحقن رمز الآلة في وظيفة إغلاق السجل، والتي تم تنفيذها لاحقًا بواسطة برنامج شرعي يتمتع بامتيازات مرتفعة، مما منح المهاجم على الفور حق الوصول المطلق إلى النظام.

انتشار الأجهزة وتدابير التخفيف

Laأكدت الاختبارات المكثفة أن هذه الثغرة الأمنية منتشرة على نطاق واسع في الأجهزة الحالية.قيّمت دراسة GDDRHammer خمسة وعشرين بطاقة رسومات متطورة، ووجدت أن ستة عشر من أصل سبعة عشر طرازًا من بطاقات RTX A6000 المبنية على معمارية Ampere كانت عرضة لهذه الهجمات. ورغم أن ذاكرة تصحيح الأخطاء (ECC) قادرة على الحد من فعالية الهجوم بتصحيح أخطاء البتات المفردة، إلا أن هذه الميزة معطلة افتراضيًا في العديد من بطاقات محطات العمل نظرًا لتأثيرها السلبي على الأداء، وهي غائبة تمامًا في الطرازات المتاحة في الأسواق العامة.

الدفاع الفوري الأكثر فعالية إن مقاومة اختراق المضيف هي تطبيق وحدة إدارة ذاكرة الإدخال والإخراج (IOMMU). عند تفعيلها، تقيّد وحدة إدارة الذاكرة والإدخال/الإخراج (IOMMU) الوصول المباشر إلى وحدة معالجة الرسومات (GPU) لإطارات صفحات المضيف المصرح بها صراحةً، مما يُبطل عملية فتح التعيين المزورة. مع ذلك، يُشير كلا فريقي البحث إلى أن وحدة IOMMU غالبًا ما تكون مُعطّلة افتراضيًا على أنظمة لينكس التجارية لأسباب تتعلق بالتوافق، مما يجعل عددًا كبيرًا من الأجهزة عرضةً لهذا النوع من الهجمات.

وأخيرًا، إذا كنت مهتمًا بمعرفة المزيد حول هذا الموضوع، فيمكنك الرجوع إلى التفاصيل في الرابط التالي.