Security Week 2529: атака Rowhammer реализована на видеокартах

Security Week 2529: атака Rowhammer реализована на видеокартах

Исследователи из канадского Университета Торонто опубликовали научную работу, в которой показали успешное применение атаки класса Rowhammer на профессиональные видеокарты Nvidia. Атака Rowhammer впервые была показана в 2014 году, она эксплуатирует физические особенности современных микросхем оперативной памяти. Из-за высокой плотности ячеек памяти есть возможность изменять значения в определенных ячейках путем отправления множества запросов по соседним адресам. Такое «простукивание» (отсюда hammer в названии) несколько усложняется и при повышении частоты работы памяти, и в результате применения методов защиты от данной атаки. Тем не менее различные варианты Rowhammer затрагивают даже самые современные модули и чипы RAM.  

Но на видеокартах данный тип атак ранее не исследовался. Канадские ученые исправили этот недочет и показали атаку с очевидным названием GPUHammer. Так как речь идет о физической особенности микросхем памяти, предсказать теоретическую возможность атаки класса Rowhammer на видеокартах нетрудно. Продемонстрировать атаку в реальности гораздо сложнее. Здесь играют роль как естественные ограничения, например высокая частота работы оперативной памяти стандарта GDDR6, так и особенности работы видеокарт. В частности, задержка при обращении к видеопамяти гораздо больше, чем при обращении к обычной оперативной памяти. Таким образом, нельзя реализовать традиционный метод атаки, когда обращения к памяти производятся последовательно.

Вместо этого исследователи задействовали технологию SIMT, запуская инструкции параллельно. В результате в наиболее успешном варианте атаки удалось добиться изменения значения в восьми разных ячейках памяти, причем во всех четырех банках памяти графического ускорителя NVIDIA RTX A6000. Была показана и практическая цель подобной атаки, а именно катастрофическое снижение качества работы алгоритма машинного обучения. Исследователи испытали пять разных языковых моделей и во всех случаях добились снижения доли правильных ответов с номинальных 50–80% до менее чем 1% в результате направленного повреждения данных в памяти видеокарты.

Таким образом, наибольшему риску данной атаки подвергаются те, кто работает с языковыми моделями в условиях, когда ресурсы видеокарт разделены между несколькими пользователями. Можно представить атаку, при которой злоумышленник намеренно ухудшает работу чужой ИИ-системы практически «до нуля». Впрочем, как и в случае иных атак типа Rowhammer, для реализации даже такого достаточно сложного сценария должны быть выполнены и многие другие требования.

Во-первых, атака сработала только на ускорителе с оперативной памятью GDDR6, причем только на модели A6000. На ускорителе RTX3080 с видеопамятью такого же типа атака не заработала — и авторы работы даже не знают почему. Широкомасштабное тестирование усложняется тем, что обычные модули RAM можно тестировать «оптом», просто заменяя модули памяти на материнской плате. Видеопамять так просто не поменяешь, необходимо добыть для исследования множество дорогостоящих ускорителей, и каждый из них будет иметь свои особенности.

Во-вторых, атака не работает на более современных ускорителях Nvidia H100 (память типа HBM) и RTX5090 (GDDR7). В обоих случаях реализована аппаратная коррекция ошибок, которая «корректирует» единичные случаи повреждения данных в одной ячейке. Собственно, те, кто эксплуатирует ускорители A6000, также могут включить ECC и таким образом сделать атаку GPUHammer в ее нынешнем виде невозможной. Правда, это приведет к падению производительности примерно на 10%.

Что еще произошло

Исследователи «Лаборатории Касперского» разбирают реальную атаку с кражей криптовалюты на крупную сумму при помощи вредоносного расширения для браузера.

Публикация команды Koi Security показывает другие способы заразиться от «проверенного» и давно используемого расширения. Аддоны с высоким рейтингом и устойчивыми позициями в поиске выкупаются у разработчика или взламываются, после чего сотням тысяч пользователей доставляется вредоносный апдейт.

Разработчик популярного плагина Gravity Forms для WordPress был предположительно взломан . Какое-то время с официального сайта распространялись зараженные версии плагина.

Новые варианты Spectre-подобных микроархитектурных атак продемонстрированы для процессоров AMD, включая серверные EPYC 3-го и 4-го поколений.

Исследователи Palo Alto Networks подробно разбирают атаки типа ClickFix, когда пользователей просят самостоятельно запустить вредоносный скрипт якобы для «дополнительной проверки пользователя». В отчете проанализированы как методы маскировки атак данного типа (под капчу, с использованием популярных бизнес-сервисов типа DocuSign и т. д.), так и их последствия (установка инфостилера, кража данных, проникновение в корпоративную инфраструктуру).

Специалисты из команды PCA Cyber Security нашли ряд критических уязвимостей в Bluetooth-стеке OpenSynergy BlueSDK. Уязвимости могут приводить к выполнению произвольного кода, а продемонстрированная атака PerfektBlue угрожает (в том числе) мультимедийным устройствам в автомобилях таких производителей, как Mercedes-Benz и Volkswagen.

Исследователь Иэн Кэррол пишет о плохо защищенной системе рекрутинга в компании McDonald’s в США. В ходе исследования произошла уникальная ситуация: пытаясь «наобум» войти в админку сервиса, Иэн ввел логин 123456 и такой же пароль. И это сработало! В результате он смог получить доступ к 64 миллионам заявок на работу в сети фаст-фуда.

gpu информационная безопасность иб rowhammer
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь