Drošības pētnieki ir pierādījuši ka Rouhammera fiziskā ievainojamība rada nopietnus draudus mūsdienu grafikas apstrādes vienībām, kurām ir divas pilnīgas uzbrukuma ķēdes, ko sauc par GeForce un GDDRHammerAtšķirībā no sākotnējiem pētījumiem, kuros tik tikko izdevās izraisīt minimālu bitu izmaiņu daudzumu, lai pasliktinātu neironu tīklu secinājumus, šie jaunie uzbrukumu veidi panāk absolūtu kompromisu sistēmas līmenī.
Palaižot standarta, neprivileģētu kodu NVIDIA GPU, a Uzbrucējs var sabojāt ierīces iekšējās atmiņas struktūras, lai iegūtu patvaļīgu lasīšanas un rakstīšanas piekļuvi. visā resursdatora centrālā procesora fiziskajā atmiņā. Šī savstarpējā manipulācija ļauj uzbrucējam palielināt privilēģijas un iegūt superlietotāja konsoli pamata operētājsistēmā.
Mazinošu faktoru un modeļu apiešana
Šo uzbrukumu panākumi ir atkarīgi no vēl nebijušas tehnikas. lai apietu GDDR6 atmiņā ieviestos mērķa rindas atsvaidzināšanas (TRR) mazināšanas pasākumus. GeForge pētījums ievieš nevienmērīgus modeļus, kas aptver vairākus atjaunināšanas intervālus, mainot atmiņas rindu aktivizācijas intensitāti un secību, lai izvairītos no aparatūras noteikšanas.
Lai dinamiskajai atmiņas piešķiršanai piemērotu fiziskās adreses kartes, kas iegūtas, izmantojot bezsaistes profilēšanu, Viņi izstrādāja lapas piesaistes tehniku, kas izmanto nelineāru piešķiršanu no fiziskajām adresēm līdz L2 kešatmiņas kopām.
Vienlaikus, GDDRHammer komanda atklāja, ka DRAM atmiņas rindas uz grafikas kartēm Tie ievēro nemonotonu ģeometrisku izkārtojumuTas ļāva viņiem izveidot ļoti efektīvus divpusējus modeļus, pat ja fiziskās adreses šķita attālas viena no otras. Piešķirot atsevišķus atmiņas bankas uzdevumus dažādiem straumējošiem multiprocesoriem un daļēji sinhronizējot izpildi, viņi spēja maksimāli palielināt aktivizācijas veiktspēju, vienlaikus apejot drošības izlasi.
Šīs pieejas deva milzīgus rezultātus; GeForge metode izraisīja 1,171 bita izmaiņas patērētāja RTX 3060 un 202 bita izmaiņas profesionālajā RTX A6000., savukārt GDDRHammer sasniedza vidēji 1,032 izmaiņas uz gigabaitu, kas ir 64 reizes vairāk nekā iepriekšējos mēģinājumos.
Lapu tabulu manipulēšana un atmiņas masāža
Lai šos elektriskos traucējumus padarītu par ieročiem, Uzbrucēji ir vērsti uz hierarhiskajām lapu tabulām, ko pārvalda GPU atmiņas pārvaldības bloks.Tā kā kontrolieris parasti izvieto šīs struktūras aizsargātos vai neparedzamos reģionos, uzbrucēji izmanto atmiņas masāžas metodes, lai piespiestu lapu tabulas ierakstus izvietot fiziskās vietās, kuras uzbrucējs zina kā neaizsargātas.
Uzbrukums GDDRHammer izmanto koplietotās atmiņas kartējumus, lai pārpludinātu piešķīrēju, saīsinot atstarpi starp lapu tabulas reģioniem un lietotāja kontrolēto atmiņu. GeForge īpaši koncentrējas uz ierakstu sabojāšanu lapu direktorijā 0 (PD0).
Rūpīgi piešķirot un atbrīvojot vienotās virtuālās atmiņas fragmentus, uzbrucējs novirza jaunu PD0 struktūru izveidi tieši uz konkrētu 4 kilobaitu apakšlapu. Kad tās ir nonākušas pozīcijā, process nedaudz maina ieraksta fiziskās adreses rādītāju, novirzot to uz viltotu lapu tabulu, ko pilnībā kontrolē ļaunprātīgais kods.
Privilēģiju eskalācija, izmantojot PCIe kopni
El Grafikas kartes lapu tabulas kontrole tieši nozīmē datora centrālā procesora kontroli.NVIDIA lapu tabulas ierakstos ir īpašs atvēršanas lauks, kas nosaka, vai saistītā fiziskā adrese atrodas ierīces lokālajā atmiņā vai resursdatora sistēmas atmiņā. Mainot šo lauku viltotajā ierakstā, jebkura operācija vēlāka lasīšana vai rakstīšana GPU ģenerētie dati tiek novirzīti caur PCIe kopni tieši uz fizisko RAM. saimnieka.
Šī tiešā piekļuve atmiņai apiet centrālā procesora atmiņas pārvaldības bloku un operētājsistēmas rakstīšanas un kopēšanas aizsardzības. Savā praktiskajā demonstrācijā, pētnieki Viņi izmantoja šo iespēju, lai pārrakstītu C standarta bibliotēkas koda segmentu tieši resursdatora atmiņā. Konkrētāk, viņi žurnāla aizvēršanas funkcijā ievadīja mašīnas kodu, ko pēc tam izpildīja likumīga programma ar paaugstinātām privilēģijām, nekavējoties piešķirot uzbrucējam absolūtu piekļuvi sistēmai.
Aparatūras izplatība un mazināšanas pasākumi
LaPlaša testēšana apstiprināja, ka šī ievainojamība ir plaši izplatīta pašreizējā aparatūrā.GDDRHammer pētījumā tika novērtētas 25 augstas klases grafikas kartes, un tika konstatēts, ka 16 no 17 RTX A6000 modeļiem, kuru pamatā ir Ampere arhitektūra, bija uzņēmīgi pret šiem uzbrukumiem. Lai gan kļūdu labošanas koda (ECC) atmiņa var mazināt uzbrukuma uzticamību, labojot viena bita kļūdas, šī funkcija daudzās darbstaciju kartēs pēc noklusējuma ir atspējota veiktspējas soda dēļ un pilnībā nav pieejama masveida tirgus modeļos.
Visefektīvākā tūlītēja aizsardzība pret resursdatora kompromitēšanu ir Ievades-izvades atmiņas pārvaldības bloka (IOMMU) pielietojums. Kad IOMMU ir iespējots, tas ierobežo tiešu GPU piekļuvi skaidri autorizētiem resursdatora lapu kadriem, neitralizējot viltotu atvērto kartējumu. Tomēr abas pētnieku komandas norāda, ka IOMMU komerciālajās Linux sistēmās saderības apsvērumu dēļ bieži tiek atspējots pēc noklusējuma, padarot ievērojamu skaitu datoru neaizsargātus pret šo uzbrukuma vektoru.
Visbeidzot, ja vēlaties uzzināt vairāk par to, varat skatīt sīkāku informāciju šī saite.