### GPUBreach: Eine detaillierte Analyse Der **GPUBreach**-Angriff geht über frühere **GPUHammer**-Forschung hinaus, indem er zeigt, dass RowHammer-Bit-Flips im GPU-Speicher mehr als nur Datenkorruption verursachen können. Forscher haben bewiesen, dass dies zu Privilegieneskalation und sogar zur vollständigen Kompromittierung des Systems führen kann. Laut Gururaj Saileshwar, Assistenzprofessor an der **University of Toronto** und einer der Autoren der Studie, "Durch die Korruption von GPU-Seitentabellen mittels GDDR6-Bit-Flips kann ein privilegienloser Prozess beliebige GPU-Speicherlese-/schreibvorgänge durchführen und diese dann durch Ausnutzung von Speicher-Sicherheitsfehlern im **NVIDIA**-Treiber in eine vollständige CPU-Privilegieneskalation – das Erzeugen einer Root-Shell – umwandeln." Was GPUBreach auszeichnet, ist seine Fähigkeit, auch mit aktiviertem Input-Output Memory Management Unit (**IOMMU**) zu funktionieren. Die IOMMU ist eine kritische Hardwarekomponente, die entwickelt wurde, um Direct Memory Access (DMA)-Angriffe zu verhindern und Peripheriegeräte von ihrem eigenen Speicherbereich zu isolieren. Saileshwar erklärt: "GPUBreach zeigt, dass dies nicht ausreicht: Durch die Korruption des vertrauenswürdigen Treiberzustands innerhalb von IOMMU-erlaubten Puffern lösen wir Kernel-Level-Out-of-Bounds-Schreibvorgänge aus – und umgehen damit IOMMU-Schutzmaßnahmen vollständig, ohne dass diese deaktiviert werden müssen. Dies hat schwerwiegende Auswirkungen auf Cloud-KI-Infrastrukturen, Multi-Tenant-GPU-Bereitstellungen und HPC-Umgebungen." ### Verständnis von RowHammer RowHammer ist ein bekanntes Zuverlässigkeitsproblem von Dynamic Random-Access Memory (DRAM). Wiederholte Zugriffe auf eine Speicherzeile können elektrische Interferenzen verursachen, die Bits in benachbarten Zeilen umkehren und die Isolationsgarantien untergraben, die für moderne Betriebssysteme und Sandboxes grundlegend sind. DRAM-Hersteller haben Hardware-basierte Gegenmaßnahmen implementiert, wie z. B. Error-Correcting Code (ECC) und Target Row Refresh (TRR), um RowHammer-Angriffe zu bekämpfen. ### GPUHammer-Präzedenzfall Im Juli 2025 veröffentlichte die **University of Toronto** Forschungsergebnisse, die die RowHammer-Bedrohung auf GPUs mit **GPUHammer** ausweiteten. Dieser Angriff zielt auf **NVIDIA**-GPUs mit GDDR6-Speicher ab und nutzt Techniken wie Multi-Thread-Parallel-Hammering, um architektonische Herausforderungen zu überwinden, die GPUs zuvor immun gegen Bit-Flips machten. Ein erfolgreicher GPUHammer-Exploit kann zu einem erheblichen Rückgang der Genauigkeit von Machine-Learning (ML)-Modellen führen, die potenziell um bis zu 80 % abnimmt. ### Auswirkungen von GPUBreach GPUBreach baut auf GPUHammer auf, indem es GPU-Seitentabellen mit RowHammer korrumpiert, um Privilegieneskalation zu erreichen, was beliebige Lese-/Schreibzugriffe auf den GPU-Speicher ermöglicht. Beunruhigender ist, dass der Angriff nachweislich geheime kryptografische Schlüssel von **NVIDIA cuPQC** leckt, Angriffe zur Verschlechterung der Modellgenauigkeit durchführt und eine CPU-Privilegieneskalation erreicht, selbst wenn die IOMMU aktiviert ist. Die Forscher erklärten: "Die kompromittierte GPU gibt DMA (unter Verwendung der Apertur-Bits in den PTEs) in einen Bereich des CPU-Speichers aus, der von der IOMMU erlaubt ist (die eigenen Puffer des GPU-Treibers). Durch die Korruption dieses vertrauenswürdigen Treiberzustands löst der Angriff Speicher-Sicherheitsfehler im NVIDIA-Kernel-Treiber aus und erhält ein beliebiges Kernel-Schreib-Primitive, das dann verwendet wird, um eine Root-Shell zu erzeugen." ### GDDRHammer und GeForge: Gleichzeitige Entdeckungen Die Veröffentlichung von GPUBreach fällt mit zwei weiteren unabhängigen Forschungsarbeiten zusammen, **GDDRHammer** und **GeForge**, die sich ebenfalls auf die Korruption von GPU-Seitentabellen über GDDR6 RowHammer konzentrieren, um eine GPU-seitige Privilegieneskalation zu erreichen. Wie GPUBreach können beide Techniken verwendet werden, um beliebige Lese-/Schreibzugriffe auf den CPU-Speicher zu erhalten. GPUBreach zeichnet sich dadurch aus, dass es eine vollständige CPU-Privilegieneskalation ermöglicht, was es zu einem potenteren Angriff macht. GeForge erfordert, dass die IOMMU deaktiviert ist, während GDDRHammer das Aperturfeld des GPU-Seitentabelleneintrags modifiziert, um dem privilegierten CUDA-Kernel das Lesen und Schreiben des gesamten Speichers der Host-CPU zu ermöglichen. Die Forscher hinter GDDRHammer und GeForge bemerkten: "Ein Hauptunterschied besteht darin, dass GDDRHammer die Seitentabelle (PT) der letzten Ebene ausnutzt und GeForge das Seitenverzeichnis (PD0) der letzten Ebene ausnutzt. Beide Arbeiten sind jedoch in der Lage, dasselbe Ziel zu erreichen, nämlich die GPU-Seitentabellenübersetzung zu kapern, um Lese-/Schreibzugriff auf den GPU- und Host-Speicher zu erhalten." ### Abhilfestrategien Eine vorübergehende Abhilfemaßnahme ist die Aktivierung von ECC auf der GPU. Angriffe wie **ECCploit** und **ECC.fail** haben jedoch gezeigt, dass diese Gegenmaßnahme umgangen werden kann. Die Forscher warnen: "Wenn jedoch Angriffsmuster mehr als zwei Bit-Flips verursachen (was auf DDR4- und DDR5-Systemen machbar ist), kann das vorhandene ECC diese nicht korrigieren und kann sogar zu stiller Datenkorruption führen; ECC ist also keine narrensichere Abhilfemaßnahme gegen GPUBreach. Auf Desktop- oder Laptop-GPUs, bei denen ECC derzeit nicht verfügbar ist, sind uns keine bekannten Abhilfemaßnahmen bekannt."