Una nueva investigación académica ha identificado múltiples ataques RowHammer contra unidades de procesamiento de gráficos (GPU) de suspensión rendimiento que podrían explotarse para aumentar los privilegios y, en algunos casos, incluso tomar el control total de un host.
Los esfuerzos han recibido el nombre en esencia. Incumplimiento de GPU, GDDRMartilloy GeForge.
GPUBreach va un paso más allá que GPUHammer, demostrando por primera vez que los cambios de bits de RowHammer en la memoria de la GPU pueden inducir mucho más que corrupción de datos y permitir una subida de privilegios y soportar a un compromiso total del sistema.
“Al corromper las tablas de páginas de la GPU a través de cambios de bits GDDR6, un proceso sin privilegios puede obtener lección/escritura arbitraria de la memoria de la GPU y luego encadenar eso en una subida completa de privilegios de la CPU, generando un shell raíz, explotando errores de seguridad de la memoria en el regulador NVIDIA”, dijo Gururaj Saileshwar, uno de los autores del estudio y profesor asistente en la Universidad de Toronto, en una publicación en LinkedIn.
Lo que hace trascendental a GPUBreach es que funciona incluso sin tener que desactivar la dispositivo de filial de memoria de entrada-salida (IOMMU), un componente de hardware crucial que garantiza la seguridad de la memoria al evitar ataques de paso directo a la memoria (DMA) y aislando cada periférico en su propio espacio de memoria.
“GPUBreach muestra que no es suficiente: al corromper el estado confiable del regulador internamente de los buffers permitidos por IOMMU, activamos escrituras fuera de límites a nivel del kernel, evitando por completo las protecciones de IOMMU sin falta de desactivarlo”, agregó Saileshwar. “Esto tiene serias implicaciones para la infraestructura de IA en la aglomeración, las implementaciones de GPU multiinquilino y los entornos HPC”.
RowHammer es un error de confiabilidad de la memoria dinámica de paso fortuito (DRAM) de larga data donde los accesos repetidos (es proponer, martilleo) a una fila de memoria pueden causar interferencia eléctrica que invierte bits (cambiando de 0 a 1 m o al contrario) en filas adyacentes. Esto socava las garantías de aislamiento fundamentales para los sistemas operativos y sandboxes modernos.
Los fabricantes de DRAM han implementado mitigaciones a nivel de hardware, como el Código de corrección de errores (ECC) y la Puesta al día de fila de destino (TRR), para contrarrestar esta serie de ataque.
Sin incautación, una investigación publicada en julio de 2025 por investigadores de la Universidad de Toronto amplió la amenaza a las GPU. GPUHammer, como se pira, es el primer ataque práctico RowHammer dirigido a GPU NVIDIA que utilizan memoria GDDR6. Emplea técnicas como el martilleo paralelo de subprocesos múltiples para exceder los desafíos arquitectónicos inherentes a las GPU que anteriormente las hacían inmunes a los cambios de bits.
La consecuencia de un exploit exitoso de GPUHammer es una caída en la precisión del maniquí de formación maquinal (ML), que puede degradarse hasta en un 80% cuando se ejecuta en una GPU.
GPUBreach extiende este enfoque para corromper las tablas de páginas de la GPU con RowHammer y alcanzar una subida de privilegios, lo que resulta en lección/escritura arbitraria en la memoria de la GPU. Más importante aún, se ha descubierto que el ataque filtra claves criptográficas secretas de NVIDIA cuPQC, organiza ataques de degradación de la precisión del maniquí y obtiene una subida de privilegios de CPU con IOMMU cobrador.
“La GPU comprometida emite DMA (utilizando los bits de tolerancia en los PTE) en una región de la memoria de la CPU que permite el IOMMU (los propios buffers del regulador de la GPU)”, dijeron los investigadores. “Al corromper este estado confiable del regulador, el ataque desencadena errores de seguridad de la memoria en el regulador del kernel de NVIDIA y obtiene una primitiva de escritura del kernel arbitraria, que luego se usa para ocasionar un shell raíz”.
Esta divulgación de GPUBreach coincide con otros dos trabajos simultáneos, GDDRHammer y GeForge, que todavía giran en torno a la corrupción de la tabla de páginas de la GPU a través de GDDR6 RowHammer y facilitan la subida de privilegios del costado de la GPU. Al igual que GPUBreach, ambas técnicas se pueden utilizar para obtener paso parcial de lección/escritura a la memoria de la CPU.
Lo que GPUBreach se distingue es que todavía permite una subida completa de privilegios de CPU, lo que lo convierte en un ataque más potente. GeForge, en particular, requiere que IOMMU esté deshabilitado para que funcione, mientras que GDDRHammer modifica el campo de tolerancia de la entrada de la tabla de páginas de la GPU para permitir que el kernel CUDA sin privilegios lea y escriba toda la memoria de la CPU del host.
“Una diferencia principal es que GDDRHammer explota la tabla de páginas de posterior nivel (PT) y GeForge explota el directorio de páginas de posterior nivel (PD0)”, dijeron los equipos detrás de los dos exploits de memoria de GPU. “Sin incautación, uno y otro trabajos pueden alcanzar el mismo objetivo de secuestrar la traducción de la tabla de páginas de la GPU para obtener paso de lección/escritura a la GPU y a la memoria del host”.
Una mitigación temporal para enfrentarse estos ataques es habilitar ECC en la GPU. Dicho esto, cerca de señalar que se ha descubierto que los ataques RowHammer como ECCploit y ECC.fail superan esta contramedida.
“Sin incautación, si los patrones de ataque inducen cambios de más de dos bits (que se muestran factibles en sistemas DDR4 y DDR5), el ECC existente no puede corregirlos e incluso puede causar una corrupción silenciosa de los datos; por lo que ECC no es una mitigación infalible contra GPUBreach”, dijeron los investigadores. “En las GPU de escritorio o portátiles, donde ECC no está adecuado actualmente, no conocemos mitigaciones”.
