Три атаки типа Rowhammer против GDDR6 | Блог Касперского

GDDRHammer, GeForge, GPUBreach: три свежих научных работы о Rowhammer-атаках, потенциально приводящих к крайне неприятным последствиям.

Иногда так бывает: независимые команды университетских исследователей находят что-то новое, готовят к публикации научные работы и только в процессе публикации узнают, что решили одну и ту же задачу немного разными способами. Так случилось с исследованиями GDDRHammer и GeForge: в них описаны две очень похожие атаки класса Rowhammer. Настолько близкие, что исследователи решили опубликовать их совместно. А уже в процессе подготовки этого поста мы обнаружили еще одно свежее исследование, описывающее еще одну похожую атаку, — GPUBreach. Поэтому расскажем сразу о трех научных работах.

Все три теоретические атаки нацелены на графические ускорители. Хочется назвать их «видеокартами», но это будет не совсем корректно: возможность эффективно проводить параллельные вычисления на таких устройствах давно сделала их пригодными не только для отрисовки графики, но и для работы систем искусственного интеллекта. Именно такой «промышленный» сценарий использования графических ускорителей наиболее уязвим для новых атак. Представьте себе провайдера облачных решений, который сдает ресурс «видеокарт» всем желающим. Новые атаки показывают, как любой клиент такого провайдера, в теории, может получить контроль не только над одним ускорителем, но и над всем сервером, добраться до секретных данных и даже полностью взломать инфраструктуру. Давайте разберемся, почему такая атака вообще возможна.

Кратко о Rowhammer

Подробно о Rowhammer мы уже писали в одном и предыдущих постов. Оригинальная атака с таким названием была предложена еще в 2014 году. Она использует физические свойства микросхем оперативной памяти. Отдельные ячейки памяти — это довольно простые элементы, расположенные рядами. Обращения к ячейке для записи или чтения данных, в теории, не должны влиять на соседние ячейки, но из-за максимально плотной компоновки (миллионы и миллиарды ячеек в каждой микросхеме) может произойти такая ситуация, при которой запись в одну ячейку заодно изменит данные в ячейках рядом.

Исследование 2014 года показало, что данный эффект может иметь несколько более серьезные последствия, чем просто случайное повреждение данных. Экспериментальным путем было доказано, что повреждать данные можно намеренно и там, где это необходимо: многократное обращение к доступной области памяти («простукивание», которое и дало название атаки) позволяет изменить один или несколько битов данных в соседних ячейках таким образом, что это позволит обойти какую-то важную защиту: открыть доступ к секретам или выполнить произвольный код с максимальными привилегиями.

За прошедшие после публикации годы были придуманы как способы защиты от Rowhammer, так и методы их обхода. Заодно была продемонстрирована возможность атаки на оперативную память более новых стандартов — DDR4 и DDR5. Это важный момент: для каждого нового типа памяти, по сути, исследователям приходится изобретать свой вариант атаки.

Атака на видеопамять GDDR6

Впервые атака типа Rowhammer на видеокарты была представлена в 2025 году. Тогда исследователи добились довольно скромных результатов: показали возможность принудительного изменения значений в ячейках памяти стандарта GDDR6, а также продемонстрировали снижение качества работы ИИ-системы, вызванное повреждением данных.

Свежие работы обещают значительно более серьезные последствия атак на видеопамять. GDDRHammer и GeForge немного разными методами манипулируют таблицей размещения страниц — условным «реестром расположения данных» в памяти графического процессора. За счет этого обеспечивается возможность произвольного чтения и записи данных в видеопамять и даже чтение и запись в основную оперативную память, управляемую центральным процессором. Изменения таблицы размещения страниц становятся возможны благодаря куда более эффективному «простукиванию» ячеек памяти. Причем это оказалось возможным несмотря на применение в исследованных ускорителях технологии Target Row Refresh — одной из базовых методик защиты от атак класса Rowhammer. Target Row Refresh детектирует многократные обращения к ячейкам и принудительно обновляет данные в соседних ячейках, что должно затруднять атаку. Тем не менее исследователям удалось подобрать режим обращений, при котором TRR не срабатывает.

Насколько атаки на графическую память реалистичны?

Как это всегда бывает с подобными исследованиями, у сценария применения предложенных атак есть довольно много ограничений. Начнем с самого простого: разные видеокарты ведут себя по-разному. Например, атака GeForge оказалась куда более эффективной на «потребительской» видеокарте GeForce RTX3060. На промышленном ускорителе Nvidia RTX A6000 эффективность атаки снижается более чем в пять раз, несмотря на то что обе модели имеют видеопамять одного и того же стандарта GDDR6. Если вернуться к нашему гипотетическому сценарию со злонамеренным клиентом у поставщика облачной системы, то это значит, что для успешной атаки ему сначала нужно выяснить, к какому именно ускорителю получен доступ, а потом спрофилировать атаку специально для него. То есть это будет иметь смысл, только если речь идет о крайне сложной и дорогой таргетированной атаке.

При этом GDDR6 — уже не самый новый стандарт памяти для графических ускорителей. В потребительских устройствах применяется GDDR7, а в профессиональных — высокоскоростная память стандарта HBM, имеющая встроенный механизм проверки целостности данных ECC. Включить режим ECC можно и на ускорителях Nvidia A6000. Это приведет к снижению производительности, но сделает обе атаки невозможными.

Еще один доступный владельцам заточенных под ИИ-вычисления серверов инструмент защиты —включение системы IOMMU, обеспечивающей изоляцию памяти видеокарты от памяти процессора. Это сделает невозможной эскалацию атаки из графического ускорителя на центральный процессор — то есть компрометацию всего сервера целиком. И вот здесь самое время вспомнить о третьем исследовании — GPUBreach. Основное отличие этой атаки от GDDRHammer и GeForge заключается в том, что она позволяет обходить даже защиту IOMMU! Это становится возможным благодаря эксплуатации довольно традиционных ошибок в драйвере NVIDIA.

Так что, несмотря на остающиеся ограничения, эти три исследования показывают, что атаки Rowhammer остаются опасными. Особенно в эпоху бурного развития систем искусственного интеллекта, требующих масштабной, дорогостоящей и уязвимой инфраструктуры с десятками и сотнями тысяч вычислительных устройств. История развития атак типа Rowhammer показывает, что имеющиеся ограничения почти всегда обходятся. В обычной оперативной памяти удалось обойти не только стандартные методики типа Target Row Refresh, но и более продвинутые и даже в теории максимально надежные решения, такие как память с проверкой целостности данных. Так что по факту такие атаки вряд ли когда-либо станут массовыми из-за их чрезвычайной сложности, но операторами дорогостоящих вычислительных систем они определенно должны рассматриваться как фактор риска.

15.04.2026

Kaspersky для школ по специальной цене