Ερευνητές ασφαλείας έχουν δείξει ότι Η σωματική ευαλωτότητα του Ρόουχαμερ αποτελεί σοβαρή απειλή για σύγχρονες μονάδες επεξεργασίας γραφικών, που διαθέτουν δύο πλήρεις αλυσίδες επίθεσης που ονομάζονται GeForce και GDDRHammerΣε αντίθεση με την προκαταρκτική έρευνα που μόλις και μετά βίας κατάφερε να προκαλέσει μια ελάχιστη ποσότητα αλλαγών στα bit για να υποβαθμίσει την συμπερασματική ικανότητα των νευρωνικών δικτύων, αυτοί οι νέοι τύποι επιθέσεων επιτυγχάνουν απόλυτο συμβιβασμό σε επίπεδο συστήματος.
Όταν εκτελείται τυπικός, μη προνομιούχος κώδικας σε μια GPU NVIDIA, ένα Ένας εισβολέας μπορεί να καταστρέψει τις εσωτερικές δομές μνήμης της συσκευής για να αποκτήσει αυθαίρετη πρόσβαση ανάγνωσης και εγγραφής. σε ολόκληρη τη φυσική μνήμη της κεντρικής CPU. Αυτή η διασταυρούμενη χειραγώγηση επιτρέπει στον εισβολέα να κλιμακώσει τα δικαιώματα και να αποκτήσει μια κονσόλα υπερχρήστη στο βασικό λειτουργικό σύστημα.
Αποφυγή μετριασμών και προτύπων
Η επιτυχία αυτών των επιθέσεων εξαρτάται από πρωτοφανείς τεχνικές. για την παράκαμψη των μετριασμών ανανέωσης γραμμής στόχου (TRR) που εφαρμόζονται στη μνήμη GDDR6. Η έρευνα GeForge εισάγει μη ομοιόμορφα μοτίβα που εκτείνονται σε πολλαπλά διαστήματα ενημέρωσης, μεταβάλλοντας την ένταση και τη σειρά των ενεργοποιήσεων των γραμμών μνήμης για να αποφευχθεί η ανίχνευση από το υλικό.
Για να εφαρμόσετε φυσικές χαρτογραφήσεις διευθύνσεων που λαμβάνονται μέσω δημιουργίας προφίλ εκτός σύνδεσης σε δυναμικές κατανομές μνήμης, Ανέπτυξαν μια τεχνική αγκύρωσης σελίδας που εκμεταλλεύεται τη μη γραμμική ανάθεση από τις φυσικές διευθύνσεις στα σύνολα κρυφής μνήμης L2.
ΤΑΥΤΟΧΡΟΝΑ, Η ομάδα GDDRHammer ανακάλυψε ότι οι γραμμές της μνήμης DRAM σε κάρτες γραφικών Ακολουθούν μια μη μονότονη γεωμετρική διάταξηΑυτό τους επέτρεψε να κατασκευάσουν εξαιρετικά αποτελεσματικά μοτίβα διπλής όψης, παρόλο που οι φυσικές διευθύνσεις φαίνονταν απομακρυσμένες. Αναθέτοντας μεμονωμένες εργασίες τράπεζας μνήμης σε διαφορετικούς πολυεπεξεργαστές ροής και συγχρονίζοντας μερικώς την εκτέλεση, μπόρεσαν να μεγιστοποιήσουν την απόδοση ενεργοποίησης, παρακάμπτοντας παράλληλα τη δειγματοληψία ασφαλείας.
Αυτές οι προσεγγίσεις οδήγησαν σε τεράστια αποτελέσματα. Η μέθοδος GeForge προκάλεσε αλλαγές 1,171 bit σε μια καταναλωτική RTX 3060 και 202 bit σε μια επαγγελματική RTX A6000., ενώ το GDDRHammer έφτασε κατά μέσο όρο τις 1,032 αλλαγές ανά gigabyte, που αντιπροσωπεύει 64πλάσια αύξηση σε σχέση με προηγούμενες προσπάθειες.
Χειρισμός πινάκων σελίδων και μασάζ μνήμης
Για να οπλίσει αυτές τις ηλεκτρικές διαταραχές, το Οι επιτιθέμενοι στοχεύουν τους ιεραρχικούς πίνακες σελίδων που διαχειρίζεται η μονάδα διαχείρισης μνήμης της GPU.Επειδή ο ελεγκτής συνήθως κατανέμει αυτές τις δομές σε προστατευμένες ή απρόβλεπτες περιοχές, τα exploits βασίζονται σε τεχνικές μασάζ μνήμης για να επιβάλουν την τοποθέτηση καταχωρήσεων πίνακα σελίδων σε φυσικές τοποθεσίες που ο εισβολέας γνωρίζει ότι είναι ευάλωτες.
Η επίθεση Το GDDRHammer χρησιμοποιεί αντιστοιχίσεις κοινόχρηστης μνήμης για να πλημμυρίσει τον εκχωρητή, μειώνοντας το χάσμα μεταξύ των περιοχών του πίνακα σελίδων και της μνήμης που ελέγχεται από τον χρήστη. Το GeForge εστιάζει ειδικά στην αλλοίωση καταχωρήσεων στον Κατάλογο Σελίδων 0 (PD0).
Με την προσεκτική κατανομή και απελευθέρωση θραυσμάτων της Ενοποιημένης Εικονικής Μνήμης, ο εισβολέας κατευθύνει τη δημιουργία νέων δομών PD0 απευθείας σε μια συγκεκριμένη υποσελίδα 4 kilobyte. Μόλις τοποθετηθεί στη θέση της, η διαδικασία αλλάζει λίγο μέσα στον φυσικό δείκτη διεύθυνσης της καταχώρησης, ανακατευθύνοντάς την σε έναν πλαστογραφημένο πίνακα σελίδων που ελέγχεται εξ ολοκλήρου από τον κακόβουλο κώδικα.
Κλιμάκωση δικαιωμάτων μέσω του διαύλου PCIe
El Ο έλεγχος του πίνακα σελίδων της κάρτας γραφικών μεταφράζεται άμεσα σε έλεγχο του κεντρικού επεξεργαστή του υπολογιστή.Οι καταχωρήσεις του πίνακα σελίδων NVIDIA περιέχουν ένα συγκεκριμένο πεδίο ανοίγματος που υπαγορεύει εάν η συσχετισμένη φυσική διεύθυνση βρίσκεται στην τοπική μνήμη της συσκευής ή στη μνήμη του συστήματος κεντρικού υπολογιστή. Αλλάζοντας αυτό το πεδίο στην πλαστογραφημένη καταχώρηση, οποιαδήποτε λειτουργία αργότερα ανάγνωση ή γραφή Τα δεδομένα που παράγονται από την GPU δρομολογούνται μέσω του διαύλου PCIe απευθείας στη φυσική μνήμη RAM. του οικοδεσπότη.
Αυτή η άμεση πρόσβαση στη μνήμη παρακάμπτει τη μονάδα διαχείρισης μνήμης της CPU και τις προστασίες εγγραφής-αντιγραφής του λειτουργικού συστήματος. Στην πρακτική του επίδειξη, οι ερευνητές Χρησιμοποίησαν αυτήν τη δυνατότητα για να αντικαταστήσουν το τμήμα κώδικα της τυπικής βιβλιοθήκης C απευθείας στη μνήμη του κεντρικού υπολογιστή. Συγκεκριμένα, εισήγαγαν κώδικα μηχανής στη συνάρτηση κλεισίματος του αρχείου καταγραφής, η οποία στη συνέχεια εκτελέστηκε από ένα νόμιμο πρόγραμμα με αυξημένα δικαιώματα, παρέχοντας αμέσως στον εισβολέα απόλυτη πρόσβαση στο σύστημα.
Επιπολασμός υλικού και μέτρα μετριασμού
LaΕκτεταμένες δοκιμές επιβεβαίωσαν ότι αυτή η ευπάθεια είναι ευρέως διαδεδομένη στο τρέχον υλικό.Η μελέτη GDDRHammer αξιολόγησε 25 κάρτες γραφικών υψηλής τεχνολογίας, διαπιστώνοντας ότι 16 από τα 17 μοντέλα RTX A6000 που βασίζονται στην αρχιτεκτονική Ampere ήταν ευάλωτα σε αυτές τις επιθέσεις. Παρόλο που η μνήμη κώδικα διόρθωσης σφαλμάτων (ECC) μπορεί να μετριάσει την αξιοπιστία της επίθεσης διορθώνοντας σφάλματα ενός bit, αυτή η λειτουργία είναι απενεργοποιημένη από προεπιλογή σε πολλές κάρτες σταθμών εργασίας λόγω της μείωσης της απόδοσης και απουσιάζει εντελώς από τα μοντέλα μαζικής αγοράς.
Η πιο αποτελεσματική άμεση άμυνα κατά της παραβίασης του κεντρικού υπολογιστή είναι το εφαρμογή μιας Μονάδας Διαχείρισης Μνήμης Εισόδου-Εξόδου (IOMMU). Όταν είναι ενεργοποιημένο, το IOMMU περιορίζει την άμεση πρόσβαση της GPU σε ρητά εξουσιοδοτημένα πλαίσια σελίδας κεντρικού υπολογιστή, εξουδετερώνοντας την πλαστογραφημένη ανοιχτή αντιστοίχιση. Ωστόσο, και οι δύο ερευνητικές ομάδες σημειώνουν ότι το IOMMU συχνά απενεργοποιείται από προεπιλογή σε εμπορικά συστήματα Linux για λόγους συμβατότητας, αφήνοντας έναν σημαντικό αριθμό μηχανημάτων ευάλωτο σε αυτόν τον φορέα επίθεσης.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο παρακάτω σύνδεσμο.