Studiuesit e sigurisë kanë demonstruar që Dobësia fizike e Rowhammer përbën një kërcënim të rëndë. për njësitë moderne të përpunimit të grafikës, që paraqesin dy zinxhirë të plotë sulmi të quajtur GeForce dhe GDDRHammerNdryshe nga hulumtimet paraprake që mezi arritën të shkaktonin një sasi minimale ndryshimesh të biteve për të degraduar përfundimin e rrjeteve nervore, këto lloje të reja sulmesh arrijnë kompromis absolut në nivelin e sistemit.
Kur ekzekutohet kod standard dhe i paprivilegjuar në një GPU NVIDIA, një Një sulmues mund të korruptojë strukturat e memories së brendshme të pajisjes për të fituar akses arbitrar për lexim dhe shkrim. në të gjithë memorien fizike të CPU-së pritëse. Ky manipulim i kryqëzuar i lejon sulmuesit të përshkallëzojë privilegjet dhe të fitojë një konsol superpërdoruesi në sistemin operativ bazë.
Shmangia e zbutjeve dhe modeleve
Suksesi i këtyre sulmeve varet nga teknika të papara. për të anashkaluar zbutjet e rifreskimit të rreshtit të synuar (TRR) të zbatuara në memorien GDDR6. Hulumtimi i GeForge prezanton modele jo-uniforme që përfshijnë intervale të shumëfishta përditësimi, duke ndryshuar intensitetin dhe rendin e aktivizimeve të rreshtave të memories për të shmangur zbulimin e harduerit.
Për të aplikuar hartat e adresave fizike të marra përmes profilizimit jashtë linje në alokimet dinamike të memories, Ata zhvilluan një teknikë ankorimi faqesh që shfrytëzon caktimin jolinear. nga adresat fizike te bashkësitë e memorjes cache L2.
Njëkohësisht, Ekipi i GDDRHammer zbuloi se rreshtat e memories DRAM në kartat grafike Ato ndjekin një rregullim gjeometrik jo-monotonKjo i lejoi ata të ndërtonin modele shumë efektive me dy anë, edhe pse adresat fizike dukeshin të largëta. Duke u caktuar detyra individuale të bankës së memories multiprocesorëve të ndryshëm të transmetimit dhe duke sinkronizuar pjesërisht ekzekutimin, ata ishin në gjendje të maksimizonin performancën e aktivizimit duke anashkaluar marrjen e mostrave të sigurisë.
Këto qasje gjeneruan rezultate masive; Metoda GeForge shkaktoi ndryshime prej 1,171 bitësh në një kartë grafike RTX 3060 për konsumatorin dhe 202 bitësh në një kartë grafike RTX A6000 profesionale., ndërsa GDDRHammer arriti një mesatare prej 1,032 ndryshimesh për gigabajt, duke përfaqësuar një rritje prej 64-fish krahasuar me përpjekjet e mëparshme.
Manipulimi i tabelës së faqeve dhe masazhi i kujtesës
Për t'i armatosur këto çrregullime elektrike, Sulmuesit po synojnë tabelat hierarkike të faqeve të menaxhuara nga njësia e menaxhimit të memories së GPU-së.Meqenëse kontrolluesi zakonisht i alokon këto struktura në rajone të mbrojtura ose të paparashikueshme, shfrytëzimet mbështeten në teknikat e masazhimit të kujtesës për të detyruar vendosjen e hyrjeve të tabelës së faqeve në vende fizike që sulmuesi e di se janë të cenueshme.
Sulmi GDDRHammer përdor hartëzimin e memories së përbashkët për të përmbytur alokatorin., duke shkurtuar hendekun midis rajoneve të tabelës së faqeve dhe memories së kontrolluar nga përdoruesi. GeForge përqendrohet posaçërisht në korruptimin e hyrjeve në Drejtorinë e Faqeve 0 (PD0).
Duke ndarë dhe liruar me kujdes fragmente të Memorjes Virtuale të Unifikuar, sulmuesi drejton krijimin e strukturave të reja PD0 direkt në një nënfaqe specifike prej 4 kilobajtësh. Pasi të pozicionohet, procesi ndryshon pak brenda treguesit fizik të adresës së hyrjes, duke e ridrejtuar atë në një tabelë faqesh të falsifikuara të kontrolluara tërësisht nga kodi keqdashës.
Përshkallëzimi i privilegjit nëpërmjet autobusit PCIe
El Kontrolli mbi tabelën e faqeve të kartës grafike përkthehet drejtpërdrejt në kontroll mbi procesorin qendror të kompjuterit.Hyrjet në tabelën e faqeve NVIDIA përmbajnë një fushë specifike hapjeje që dikton nëse adresa fizike e shoqëruar ndodhet në kujtesën lokale të pajisjes apo në kujtesën e sistemit pritës. Duke ndryshuar këtë fushë në hyrjen e falsifikuar, çdo operacion lexim ose shkrim i mëvonshëm Të dhënat e gjeneruara nga GPU-ja drejtohen përmes autobusit PCIe direkt në RAM-in fizik. të mikpritësit.
Ky akses i drejtpërdrejtë në memorie anashkalon njësinë e menaxhimit të memories së CPU-së dhe mbrojtjet e shkrimit dhe kopjimit të sistemit operativ. Në demonstrimin e saj praktik, studiuesit Ata e përdorën këtë aftësi për të mbishkruar segmentin e kodit të bibliotekës standarde C direkt në kujtesën e hostit. Në mënyrë specifike, ata injektuan kod makine në funksionin e mbylljes së regjistrit, i cili më pas u ekzekutua nga një program legjitim me privilegje të larta, duke i dhënë menjëherë sulmuesit akses absolut në sistem.
Përhapja e pajisjeve dhe masat zbutëse
LaTestime të shumta konfirmuan se kjo dobësi është e përhapur në harduerin aktual.Studimi GDDRHammer vlerësoi 25 karta grafike të nivelit të lartë, duke zbuluar se 16 nga 17 modelet RTX A6000 të bazuara në arkitekturën Ampere ishin të ndjeshme ndaj këtyre sulmeve. Edhe pse memoria e kodit korrigjues të gabimeve (ECC) mund të zbusë besueshmërinë e sulmit duke korrigjuar gabimet me një bit të vetëm, kjo veçori është e çaktivizuar si parazgjedhje në shumë karta pune për shkak të penalizimit të performancës dhe mungon plotësisht në modelet e tregut masiv.
Mbrojtja më efektive e menjëhershme kundër kompromisit të hostit është aplikimi i një Njësie Menaxhimi të Memories Hyrje-Dalje (IOMMU). Kur aktivizohet, IOMMU kufizon aksesin direkt të GPU-së në kornizat e faqeve pritëse të autorizuara në mënyrë të qartë, duke neutralizuar hartëzimin e hapur të falsifikuar. Megjithatë, të dy ekipet kërkimore vërejnë se IOMMU çaktivizohet shpesh si parazgjedhje në sistemet komerciale Linux për arsye kompatibiliteti, duke lënë një numër të konsiderueshëm makinash të cenueshme ndaj këtij vektori sulmi.
Së fundi, nëse jeni të interesuar të mësoni më shumë rreth tij, mund të konsultoni detajet në lidhja vijuese.