На прошлой неделе были опубликованы сразу три научные работы, так или иначе предлагающие варианты атаки Rowhammer для видеокарт Nvidia. Подобные атаки часто имеют чисто научный интерес, но не в этом случае: во всех работах показаны методы эксплуатации с реально опасными последствиями вплоть до получения прав суперпользователя на целевой системе. Новые атаки были испытаны на видеокартах с видеопамятью стандарта GDDR6, в частности на GeForce RTX3060 и RTX6000. Именно для RTX6000 и подобных моделей новые атаки наиболее актуальны, так как это промышленный видеоускоритель, часто используемый в облачных решениях с общим доступом к вычислительным ресурсам. Именно там перехват контроля над системой-хостом со стороны клиента представляет наибольшую опасность.
Самая первая атака Rowhammer была впервые продемонстрирована в 2014 году в отношении модулей памяти DDR3. Возможность изменения данных в ячейках памяти при обращении к соседним рядам ячеек была известна и ранее, но именно 12 лет назад эту особенность применили для целевого изменения данных в оперативной памяти так, чтобы, например, создать условия для выполнения произвольного кода или похитить секретные данные. С тех пор были предложены как методы противодействия подобным атакам, так и способы их обхода. Последним достижением академических исследователей стала демонстрация атаки «класса» Rowhammer на новейшие модули памяти стандарта DDR5.
Тип атакуемых чипов памяти представляет здесь особую важность, так как атаки эксплуатируют максимально низкоуровневые особенности их работы. Исследователям также приходится обходить методы защиты (например, принудительное обновление ячеек памяти при многократном обращении к «соседям»), причем эти методы зачастую проприетарные, без какой-либо документации. Таким образом, просто взять и перенести атаку с обычной оперативной памяти на видеопамять графического ускорителя невозможно. Впервые атака на видеопамять была продемонстрирована в прошлом году, с довольно скромными результатами. Недостаточно вызвать «какие-то» изменения данных в ячейках памяти, требуется точное изменение в нужный момент, так, чтобы можно было провести сколько-нибудь реалистичную атаку.
Две свежие исследовательские работы были подготовлены независимо друг от друга разными командами исследователей. Несмотря на это, они достаточно похожи. Атаки, получившие названия GDDRHammer и GeForge, используют методику Rowhammer для повреждения таблицы страниц, что открывает возможность произвольного чтения и записи в видеопамять графического ускорителя. Важным моментом является возможность расширения атаки на центральный процессор и обычную оперативную память. Это возможно при одном условии: если выключена система IOMMU, обеспечивающая определенный уровень изоляции между процессором и видеокартой. Как правило, она по умолчанию выключена, так как ее включение приводит к определенному снижению производительности.
И вот здесь появляется еще одна научная работа, в которой предложена атака GPUBreach. Она также использует методику Rowhammer для получения контроля над видеопамятью и масштабирует атаку вплоть до получения максимальных привилегий в системе, даже при включенной системе IOMMU. Для обхода этого механизма безопасности были задействованы банальные ошибки в драйвере видеокарты. Таким образом, сразу три команды исследователей независимо друг от друга показали, что Rowhammer на видеокартах возможен и столь же опасен, как и в случае обычной оперативной памяти. Максимальные риски здесь несут преимущественно провайдеры облачных решений. Уменьшить опасность взлома серверной инфраструктуры можно несколькими способами: включив уже упомянутый режим IOMMU (если допустить исправление багов в драйверах NVIDIA) или переключив видеопамять в режим ECC. Оба варианта сказываются на производительности.
Не стоит забывать, что атака работает только для ускорителей с памятью GDDR6 и не работает на более современных устройствах. Атаки типа Rowhammer просто так не «портируются» между стандартами — этому препятствуют как изменения архитектуры, так и общее повышение частоты, с которой обновляются ячейки памяти. Как показывают исследования атак на традиционную оперативную память, научные работы отстают от темпов выпуска новых продуктов, иногда на годы. Но рано или поздно способ обойти защиту через аппаратные особенности железа все же находится.
Что еще произошло
Новые публикации экспертов «Лаборатории Касперского»: анализ деятельности группировки RGB-Team, исследование шпионской программы CrystalX RAT и отчет команды Kaspersky Security Services по анатомии ландшафта угроз для корпоративных клиентов.
Разработчики популярного HTTP-клиента Axios опубликовали отчет о расследовании инцидента, в результате которого в официальном репозитории проекта в npm были опубликованы две вредоносные версии библиотеки. Учетная запись разработчика была скомпрометирована через фейковую нотификацию о том, что «требуется обновить Microsoft Teams».
В браузере Google Chrome закрыта четвертая за этот год уязвимость нулевого дня.
В утилите GIGABYTE Control Center, используемой для управления ноутбуками и материнскими платами GIGABYTE, обнаружена критическая уязвимость, открывающая возможность произвольной записи данных.
