Tuttu kasvo kyberturvallisuusmaailmassa on palannut eturintamaan, mutta tällä kertaa näytönohjainten tärkeimmän oven kautta. Haavoittuvuus Rowhammer, tähän asti pääasiassa yhdistetty suorittimen RAM-muistiinSe on myös osoittautunut tehokkaaksi useissa NVIDIA-näytönohjaimissa käytettävää GDDR6-muistia vastaan, mikä avaa oven hyökkäyksille, jotka voivat johtaa täydelliseen järjestelmän hallintaan.
Useat akateemiset ryhmät ovat esitelleet lähes samanaikaisesti. täydelliset hyökkäysketjut NVIDIAn GDDR6-näytönohjaimia vastaannimillä kuten GDDRHammer, GeForge tai GPUBreach. Teknisten yksityiskohtien lisäksi viesti eurooppalaisille käyttäjille, yrityksille ja pilviympäristöille on selvä: tietyt näytönohjaimet, joita käytetään laajalti kotitietokoneissa, työasemissa ja palvelimissa, voivat olla vektori, jonka avulla hyökkääjä voi saada järjestelmänvalvojan oikeudet käyttöjärjestelmään.
Mikä on Rowhammer ja miksi se kohdistaa nyt GDDR6-muistia käyttäviä näytönohjaimia?
Rowhammer on fyysinen haavoittuvuus, joka hyödyntää tapa, jolla DRAM-muistisolut valmistetaan ja ladataanJos tiettyjä muistirivejä käytetään hyvin nopeasti ja toistuvasti ("vasarointi"), syntyy sähköisiä häiriöitä, jotka voivat aiheuttaa bittimuutoksia vierekkäisillä riveillä, tunnettuja bitinvaihdoksia: 0 muuttuu 1:ksi tai päinvastoin ilman, että ohjelmisto on määrännyt sitä.
Ensimmäiset akateemiset teokset ajalta, jolloin DDR3- ja uudemmat DDR4-muistitHe osoittivat, että tätä tekniikkaa voitaisiin käyttää prosessien eristämisen murtamiseen, arkaluonteisten tietojen käsittelyyn ja oikeuksien siirtämiseen luvattomalta käyttäjältä järjestelmänvalvojalle. Vuosien ajan ajateltiin, että toteutetut lieventävät toimet ja laitteistokehitys olivat ratkaisseet ongelman, mutta todellisuudessa hyökkäyspinta-ala on laajentunut.
Viimeaikaiset tutkimukset osoittavat, että Nykyaikaisten näytönohjainten GDDR6-muisti ei ole turvallinenSen sijaan, että tiimit olisivat hyökänneet suorittimeen kytketyn päämuistin kimppuun, he ovat keskittäneet ponnistelunsa näytönohjaimen erilliseen muistiin hyödyntäen erittäin aggressiivisia käyttötapoja ja erityisiä tekniikoita ohittaakseen näiden sirujen sisäiset rivinpäivityssuojaukset (TRR).
Uutta tässä ei ole vain se, että Rowhammer toimii GDDR6-muistilla, vaan se, että Hyökkääjät voivat edetä näytönohjaimen muistin vahingoittamisesta isäntäprosessorin muistin suoraan manipulointiin., käyttäen kortin omaa muistinhallintalogiikkaa ja PCIe-väylän ominaisuuksia.
GDDRHammerin ja GeForgen tutkimus: bitinvaihdosta järjestelmän hallintaan
Kaksi itsenäisesti Yhdysvaltain yliopistoissa työskentelevää tutkimusryhmää on julkaissut tutkimuksia nimillä GDDRHammer ja GeForce ForgeMolemmilla on sama perusajatus: aiheuttaa bittikääntöjä näytönohjaimen GDDR6-muistissa ja muuttaa nämä fyysiset muutokset koko järjestelmän kompromissiksi.
Testeissään tutkijat analysoivat ainakin 25 NVIDIA GPU -mallia, joissa on GDDR6Tämä sisältää Ampere- ja Ada Lovelace -arkkitehtuureihin perustuvat kuluttaja- ja ammattilaisnäytönohjaimet. Kortteja, joissa on havaittu bittikääntymisiä ja onnistunutta hyödyntämistä, ovat GeForce RTX 3060 sekä ammattilaistason RTX 6000- ja RTX A6000 -sarjat.
Tulokset ovat silmiinpistäviä: GeForge-menetelmä onnistui indusoimaan enemmän kuin 1 100 bitin muutokset RTX 3060:ssa kuluttajille ja hieman yli 200 ammattilaistason RTX A6000 -näytönohjaimelle. GDDRHammer puolestaan saavutti keskimäärin yli tuhannen bitin käännöksen gigatavua kohden muistia, mikä on selvästi aiempia grafiikkalaitteistoille tehtyjä yrityksiä korkeampi luku.
Tämän saavuttamiseksi joukkueiden on täytynyt TRR-lieventämisten kiertäminen integroitu GDDR6-muistisiruihin. Useilla riveillä on käytetty epätasaisia käyttökuvioita, jotka vaihtelevat taajuutta, järjestystä ja intensiteettiä, jotta laitteisto ei havaitse toimintaa epäilyttävänä, mutta että häiriöitä syntyy riittävästi bittien vaihtojen pakottamiseksi.
Kun kyky laukaista bitinvaihtoja luotettavasti oli osoitettu, seuraava vaihe oli ohjaamalla nämä muutokset erityisen herkkiin muistirakenteisiinTässä tapauksessa sivutaulukoita hallinnoi näytönohjaimen muistiyksikkö.
Miten GPU-sivutaulukoita muokataan suorittimen RAM-muistin käyttämiseksi
Näiden hyökkäysten ydin on siinä, hierarkkiset sivutaulukot, joita GPU käyttää virtuaaliosoitteiden kääntämiseen fyysisiin osoitteisiin sekä paikallisessa muistissa että isäntäjärjestelmän muistissa. Tyypillisesti nämä rakenteet on varattu muistialueille, joita on vaikea ennustaa tai joihin etuoikeuttamattomalla koodilla on vaikea päästä käsiksi.
GDDRHammer- ja GeForge-hyökkäykset käyttävät tavallisia muistikutsuja (kuten cudaMalloc- ja Unified Virtual Memory -pohjaisia) aidon operaation suorittamiseen. "muistohieronta"Lohkoja allokoidaan ja vapautetaan erittäin hallitusti, kunnes tietyt sivutaulukot päätyvät fyysisiin paikkoihin, joiden hyökkääjä tietää olevan alttiita Rowhammerille.
Kun nämä alueet on paikannettu, tavoitteena on vioittaa tietyn sivutaulukon merkinnän bitin käännön kautta. Muuttamalla tiettyä bittiä fyysisessä osoiteosoittimessa syöte lakkaa osoittamasta oikeaan taulukkoon ja alkaa osoittaa hyökkääjän kontrolloituun muistiin rakentamaan väärennettyyn taulukkoon.
Siitä hetkestä lähtien GPU uskoo käyttävänsä kelvollista sivutaulukkoa, mutta todellisuudessa kaikki luku- ja kirjoitustoiminnot Tämän reitin kautta tiedot ohjataan haitallisen koodin valitsemiin muistipaikkoihin. Ratkaisevaa on, että näiden osoitteiden ei enää tarvitse sijaita näytönohjaimen muistissa, vaan isäntäjärjestelmän fyysisessä RAM-muistissa.
Käytännön demonstraatioissa tutkijat saavuttivat tällä menetelmällä seuraavat tulokset mielivaltainen luku- ja kirjoitusoikeus koko suorittimen muistiinYhdessä esitetyssä skenaariossa hyökkäysohjelma ylikirjoitti osan järjestelmäkirjaston koodista (esim. libc-funktiot) suoraan isännän RAM-muistiin, jolloin kun laillinen ohjelma, jolla oli laajennetut oikeudet, suoritettiin, injektoitu koodi käynnistettiin ja saatiin superkäyttäjäkonsoli.
GPUBreach: kolmas tapa yhdistää Rowhammerin ja ajurihaavoittuvuudet
GDDRHammerin ja GeForgen lisäksi tutkijat ovat kuvanneet kolmannen vektorin, jota kutsutaan GPU-rikkomusTätä pidetään nyt kolmantena vahvistettuna Rowhammer-hyökkäyksenä näytönohjaimia vastaan. Tässä tapauksessa huomio ei rajoitu muistifysiikkaan, vaan se nojaa myös NVIDIA-ajurien viimeaikaiset haavoittuvuudet.
GPUBreach todistaa, että se on mahdollista vaarantaa käyttöjärjestelmän ytimen, vaikka IOMMU olisi aktiivinenTämä on erityisen huolestuttavaa palvelimille ja työasemille, jotka olivat jo ottaneet tämän toimenpiteen ensisijaiseksi puolustuskeinoksi. Tutkimus keskittyi pääasiassa NVIDIA RTX A6000 -näytönohjaimeen, joka on huippuluokan näytönohjain, jota käytetään laajalti datakeskuksissa, laskentaintensiivisissä ympäristöissä ja tekoälyprojekteissa.
Tässäkin tapauksessa hyökkäys alkaa edelleen korruptoi GPU-sivutaulukot Rowhammeria käyttäenMutta sitten se yhdistää tämän ominaisuuden ajurien haavoittuvuuksien hyödyntämiseen oikeuksien laajentamiseksi entisestään. Tällä tavoin GPU lakkaa olemasta pelkkä laskennan kiihdytin ja siitä tulee ponnahduslauta, josta isäntäjärjestelmän hallinta otetaan.
Fyysisen haavoittuvuuden (Rowhammer) ja loogisia virheitä ohjainohjelmistossa Tämä asettaa GPUBreachin erityisen arkaluontoiseen asemaan, sillä se rajoittaa sellaisten esteiden tehokkuutta, joita aiemmin pidettiin kohtuullisen vahvoina ammattiympäristöissä.
Vaikutusalttiit mallit ja haavoittuvuuksien tila NVIDIAlla
Tähän mennessä julkaistut tutkimukset eivät tarjoa tyhjentävää luetteloa kaikista malleista, joihin tämä vaikuttaa, mutta ne ovat vahvistaneet useita konkreettisia esimerkkejä. Näitä ovat muun muassa: kuluttajille suunnattu GeForce RTX 3060 ja ammattilaisille suunnattu RTX 6000- ja RTX A6000 -näytönohjain, kaikki GDDR6-muistilla ja Ampere-arkkitehtuuriin perustuen.
Laajemmissa testeissä yksi tutkimusryhmistä vahvisti 25 huippuluokan näytönohjainta, joissa on GDDR6-muistiTutkimuksessa havaittiin, että 17 testatusta RTX A6000 -mallista 16 oli alttiita ehdotetuille Rowhammer-hyökkäyksille. Testejä tehtiin myös Ada-perheen malleilla, ja niissä havaittiin samanlaisia haavoittuvuuksia, vaikka testausta laajemmalla tuotevalikoimalla jatketaan edelleen.
Toisaalta tutkimukset viittaavat siihen, että GDDR6X- ja GDDR7-muisteihin eivät vaikuta samat menetelmätainakin nykyisillä tekniikoilla. Sama pätee muisteihin, kuten HBM2 tai HBM3, jotka integroivat sirulle integroidut virheenkorjausmekanismit (On-Die ECC), joissa samoja vikaantumismalleja ei ole havaittu.
NVIDIAn julkinen viestintä on ollut varovaista. Yhtiö on viitannut aiemmin julkaistut turvallisuusasiakirjat Tämä liittyy aiempiin Rowhammer-hyökkäyksiin näytönohjaimia vastaan, kuten GPUHammeria, ja kehottaa huolestuneita asiakkaita tutustumaan lieventämisoppaisiin. Tällä hetkellä ei ole julkaistu erityisiä laiteohjelmisto- tai ajuripäivityksiä, jotka estäisivät täysin nämä uudet hyökkäysvektorit.
On joka tapauksessa syytä korostaa, että Ei tiedossa olevia aktiivisia tosielämän tapahtumia jotka hyödyntävät näitä menetelmiä NVIDIAn GDDR6-näytönohjaimia vastaan. Nämä ovat toistaiseksi akateemisia todisteita konseptin toimivuudesta, vaikka niiden mahdollinen vaikutus on niin vakava, että valmistajat, pilvipalveluntarjoajat ja suuret organisaatiot ovat jo ottaneet ne huomioon.
Virustorjuntaohjelmien rajoitukset ja miksi hyökkäystä on niin vaikea havaita
Yksi näiden tutkimusten häiritsevimmistä johtopäätöksistä on, että etuoikeuksien lisääntyessä laitteistotasollaPerinteisillä tietoturvaratkaisuilla on hyvin rajallinen näkyvyys. Virustorjuntaohjelmat ja monet valvontatyökalut toimivat pääasiassa käyttöjärjestelmän tilassa, mutta ongelma tässä juontaa juurensa jo aiemmin, näytönohjaimen vuorovaikutuksessa muistin kanssa.
Kun näytönohjain saa suoran luku- ja kirjoitusoikeuden isännän fyysiseen muistiin, toiminnot syötetään sisään. PCIe-väylän kautta ohittaen osan suorittimen ohjaimistaJärjestelmän näkökulmasta monet näistä toimista tulkitaan virheellisesti kiihdytetyksi laskentatehoksi, joten selkeitä hälytyksiä ei laukaista.
Lisäksi vasarointikuviot on suunniteltu siten, että ne jäädä muistisirujen suojausten huomaamattaTämän vuoksi tietoturvaohjelmistojen on vaikea erottaa normaalia intensiivistä käyttöä (esimerkiksi tekoälystä tai renderöintisovelluksesta) hyökkäysyrityksestä.
Kaikki tämä tekee puhtaasti ohjelmistotoimenpiteitä Pelkät virustorjuntaohjelmistot, EDR ja muut turvatoimet eivät välttämättä riitä pysäyttämään tällaisia hyökkäyksiä. Tehokkaimmat puolustuskeinot ovat laitteistokokoonpanon muutokset ja keskipitkällä aikavälillä näytönohjainten, muistin ja ohjainten suunnittelun muutokset.
Lievennys: IOMMU, ECC ja kokoonpanon muutokset
Eri tutkimusryhmät ovat yhtä mieltä kahdesta tärkeästä välittömästä puolustuslinjasta järjestelmille, jotka käyttävät NVIDIA-näytönohjaimia ja GDDR6-muistia: Ota IOMMU käyttöön BIOSissa ja ota käyttöön virheenkorjausmuisti (ECC) korteilla, jotka sen sallivat.
Tulo-/lähtömuistin hallintayksikkö (IOMMU) varaa laitteille näkyvät virtuaaliosoitteet (kuten näytönohjain) tiettyihin fyysisiin osoitteisiin isännän muistissa. Tämä mahdollistaa sen, että voidaan rajoittaa sitä, mihin RAM-muistin osiin kortti voi suoraan päästä käsiksi, mikä vähentää mahdollisen hyökkäyksen laajuutta.
Teoriassa IOMMU:n käyttöönoton pitäisi estää GPU:n väärentämää aukkokartoitusta kohdistamasta vapaasti koko suorittimen muistiin. Tutkimukset kuitenkin osoittavat, että Se ei ole aina oletuksena käytössä. Monissa kaupallisissa Linux-jakeluissa ja -järjestelmissä tämä jättää huomattavan määrän tietokoneita alttiiksi häiriöille, olipa kyse sitten yhteensopivuus- tai suorituskykysyistä.
Toinen merkittävä puolustuskeino on ECC:n aktivointi näytönohjaimessa. Tämä ominaisuus mahdollistaa... Muisti korjaa automaattisesti useita yhden bitin virheitäTämä tarkoittaa, että suuri osa Rowhammerin aiheuttamista bittivirheistä neutraloidaan ennen kuin niitä ehditään hyödyntää. Ongelmana on, että ECC:llä on hintansa: se vähentää käytettävissä olevaa muistia ja voi johtaa huomattavaan suorituskyvyn heikkenemiseen, minkä vuoksi monet ammattikäyttäjät pitävät sen poissa käytöstä.
Asiaa pahentaa se, että jotkut tutkimukset viittaavat siihen, että ECC ei estä kaikkia Rowhammer-hyökkäyksiäTietyt kuviot voivat aiheuttaa korjauskapasiteetin ylittäviä monibittisiä virheitä tai tuoda mukanaan virheitä, joita ei havaita korjattaviksi, joten vaikka ECC nostaa rimaa merkittävästi, se ei ole täydellinen ratkaisu.
Vaikutus Euroopassa: Kotitietokoneet, työasemat ja pilvipalvelut
Euroopan kontekstissa näiden haavoittuvuuksien laajuus on erityisen merkittävä kolme suurta käyttäjäryhmää: peli- tai sisällöntuotantotietokoneita käyttävät yksityishenkilöt, grafiikkatyöasemia käyttävät yritykset ja pilvipalvelujen tarjoajat, jotka jakavat näytönohjaimia useiden asiakkaiden kesken.
Kotimarkkinoilla monissa keskitason ja huippuluokan järjestelmissä on mm. näytönohjaimet, kuten GeForce RTX 3060Tämä on yksi niistä erityismalleista, joissa laboratoriossa on havaittu toimivia bitinvaihtoja ja hyökkäysketjuja. Käytännön riskiä pidetään kuitenkin tällä hetkellä pienenä: hyökkäykset ovat monimutkaisia ja vaativat syvällistä järjestelmän tuntemusta, eikä niitä ole havaittu aktiivisesti sovellettu laajassa mittakaavassa.
Asia muuttuu vakavammaksi siinä, missä yritysympäristöissä ja datakeskuksissaTieteelliseen laskentaan, tekoälyyn, edistyneeseen suunnitteluun tai grafiikan virtualisointiin suunnitellut ammattilaistason RTX 6000- ja RTX A6000 -näytönohjaimet ovat yleisiä eurooppalaisissa organisaatioissa esimerkiksi tekniikan, autoteollisuuden, pankkialan tai julkisen tutkimuksen aloilla.
Jaetuissa pilviskenaarioissa yksi näytönohjain voi palvella useita asiakkaita kerrallaJos jokin heistä onnistuisi suorittamaan Rowhammer-hyökkäyksen säilöstään tai virtuaalikoneestaan, he voisivat pakottaa käyttöoikeuksien eskalaation, joka vaikuttaisi hypervisoriin tai muihin saman palvelimen vuokralaisiin, ja mahdollisesti vaikuttaa tietojen luottamuksellisuuteen ja saatavuuteen.
Suuret eurooppalaiset pilvipalveluntarjoajat soveltavat tyypillisesti tiukempia tietoturvakäytäntöjä kuin kotitietokone: hienosäädettyä IOMMU-konfiguraatiota, resurssien segmentointia, aggressiivisempaa valvontaa ja monissa tapauksissa ECC-aktivointi oletuksena näytönohjaimissaan. Silti tämä tutkimus muistuttaa siitä, että edes huippuluokan näytönohjaimet eivät ole riskittömiä.
Mitä käyttäjät ja organisaatiot voivat tehdä juuri nyt?
Niille, jotka käyttävät NVIDIAn GDDR6-näytönohjaimia päivittäin, olipa kyseessä Espanja tai muu Eurooppa, on olemassa useita järkeviä toimenpiteitä, joita voidaan tehdä ilman paniikkia. Ensimmäinen on tarkista BIOS-asetukset ja käyttöjärjestelmä tarkistaa, onko IOMMU käytössä ja toimiiko se oikein.
Ammattimaisissa ympäristöissä ja palvelimilla, erityisesti työskenneltäessä työasemat, joissa on RTX 6000 tai RTX A6000ECC:n käyttöönottoa kannattaa harkita vakavasti, jopa suorituskyvyn ja käytettävissä olevan muistin menetyksen kustannuksella. Monissa tapauksissa riskien pieneneminen kompensoi tätä vaikutusta enemmän kuin hyvin, erityisesti käsiteltäessä arkaluonteisia tietoja tai kriittisiä työkuormia.
Se on myös suositeltavaa Pidä ajurit ja laiteohjelmisto ajan tasalla näytönohjaimia ja seuraa tarkasti NVIDIAn ja sen julkaisemia tietoturvaohjeita kriittiset päivitykset ChromessaVaikka tällä hetkellä ei ole olemassa ihmekorjausta, joka poistaisi uhan kokonaan, on todennäköistä, että päivityksiä ilmestyy, jotka lieventävät joitakin vektoreita (esimerkiksi korjaamalla GPUBreachin hyödyntämiä ajurivirheitä).
Kotikäyttäjille, joilla on RTX 3060 tai muita GDDR6-muistilla varustettuja Ampere-malleja, käytännöllisin neuvo on Älä poista suojaustoimenpiteitä käytöstä suorituskykysyistä Ilman selkeää syytä vältä epäilyttävän alkuperän ohjelmistojen asentamista, jotka voivat suorittaa koodia näytönohjaimella, ja yleisesti ottaen käsittele näytönohjainta yhtä herkkänä komponenttina kuin itse suoritin.
Järjestelmänvalvojien ja tietoturvapäälliköiden tapauksessa nämä tutkimukset oikeuttavat Tarkista GPU-resurssien segmentointikäytännöt Virtualisoiduissa ympäristöissä vahvista eristystä vuokralaisten välillä ja rajoita mahdollisuuksien mukaan suora pääsy matalan tason GPU-rajapintoihin todella välttämättömiin prosesseihin.
Kaikki viittaa suhteeseen muisti, näytönohjain ja kyberturvallisuus Tämä kuilu tulee kaventumaan tulevina vuosina. Rowhammer, kaukana menneisyyden akateemisesta kuriositeetista, on täysin astunut nykyaikaisten näytönohjainten maailmaan ja osoittanut, että se pystyy ylittämään grafiikkamuistin ja isäntäjärjestelmän muistin välisen rajan.
GDDRHammer-, GeForge- ja GPUBreach-testit osoittavat, että GDDR6-muistissa on mahdollista siirtyä yksinkertaisesta bitinvaihdosta käyttöjärjestelmän pääkäyttäjän oikeuksilla varustettuun komentotulkkiin.jopa ohittaen osan nykyisistä puolustuskeinoista. Vaikka uhka on tällä hetkellä teoreettinen ja rajoittuu laboratorioon, viesti eurooppalaisille käyttäjille, yrityksille ja pilvipalveluntarjoajille on selvä: on suositeltavaa muuttaa asetuksia, ottaa käyttöön käytettävissä olevat suojaustoimenpiteet ja seurata tarkasti, miten teollisuus ja valmistajat reagoivat tähän uuden sukupolven Rowhammer-hyökkäyksiin näytönohjaimia vastaan.
