Дослідники представили новий тип атаки під назвою GPUBreach, який показує, що відеокарта може стати точкою входу для повного захоплення системи. В окремих випадках зловмисник здатен підняти привілеї до рівня root і фактично отримати контроль над усією машиною.
Нове академічне дослідження показало, що атаки RowHammer уже добрались і до сучасних GPU, причому наслідки можуть бути значно серйознішими, ніж вважалося раніше. Йдеться не лише про збої в пам’яті, а про реальну можливість підвищення привілеїв і навіть повного захоплення системи.
Дослідники описали одразу кілька варіантів таких атак: GPUBreach, GDDRHammer, та GeForge. Найбільше уваги привернув саме GPUBreach, який фактично піднімає планку загрози на новий рівень.
Якщо коротко, суть у тому, що через класичний ефект RowHammer зловмисник може змінювати біти в пам’яті GDDR6 на відеокарті. Але тепер це використовується не просто для пошкодження даних, а для атаки на таблиці сторінок GPU. А це вже критична частина системи.
У результаті непривілейований процес може отримати довільний доступ до пам’яті GPU, а далі використати вразливості драйвера NVIDIA і вийти на рівень ядра. Фактично це відкриває шлях до повного контролю над системою, включно з root-доступом.
Один із авторів дослідження, Гурурадж Сайлешвар з Університету Торонто, пояснив, що атака дозволяє обійти навіть IOMMU. Це той самий механізм, який мав би ізолювати пам’ять і захищати від подібних сценаріїв.
Але тут використовується інший підхід. Замість прямого обходу захисту змінюється стан довірених буферів драйвера, які вже дозволені системою. І цього достатньо, щоб запустити запис за межами дозволеного і вийти на рівень ядра.
Це особливо небезпечно для хмарних середовищ, де GPU використовуються спільно, а також для AI-інфраструктури і HPC-систем.
Сам RowHammer давно відомий як проблема DRAM. При інтенсивному доступі до пам’яті виникають електричні перешкоди, які можуть змінювати біти в сусідніх осередках. Раніше від цього намагалися захищатися за допомогою ECC і TRR, але нові дослідження показують, що цього вже недостатньо.
Ще у 2025 році з’явився GPUHammer — перша практична атака такого типу на GPU NVIDIA з пам’яттю GDDR6. Вона могла, наприклад, знижувати точність моделей машинного навчання приблизно до 80%.
Але GPUBreach пішов значно далі. Окрім доступу до пам’яті, дослідники змогли:
витягувати криптографічні ключі з NVIDIA cuPQC,
порушувати роботу ML-моделей
отримувати повний контроль над системою навіть із увімкненим IOMMU
Паралельно з цим з’явилися GDDRHammer і GeForge. Обидві атаки теж б’ють по таблицях сторінок GPU і дозволяють читати та змінювати пам’ять як відеокарти, так і хоста.
Різниця між ними в деталях реалізації. Наприклад, GeForge потребує вимкненого IOMMU, тоді як GDDRHammer працює і без цього, змінюючи параметри доступу в таблицях сторінок.
Але саме GPUBreach виглядає найнебезпечнішим, бо дозволяє не просто доступ до пам’яті, а повну ескалацію привілеїв до рівня CPU.
Що стосується захисту, то ситуація поки що не дуже оптимістична. Одним тимчасовим засобом боротьби з цими атаками є ввімкнення ECC на графічному процесорі. Проте, варто зазначити, що атаки RowHammer, такі як ECCploit та ECC.fail, долають цей контрзахід.
А для звичайних GPU в ноутбуках і десктопах ECC часто взагалі недоступний. І на сьогодні фактично немає надійного способу захисту від таких атак.
У підсумку це виглядає як серйозний сигнал для всієї індустрії. GPU більше не можна вважати «безпечним» компонентом з точки зору пам’яті. І з огляду на те, як активно вони використовуються в AI та хмарних сервісах, наслідки можуть бути дуже масштабними.
