„GPUBreach“: Systemübernahme mit Bitflips in der Nvidia-GPU

Rowhammer-Angriffe waren 2015 ein Novum: Durch gezieltes häufiges Lesen lassen sich benachbarte Speicherzellen in DRAM kippen. Das klingt erst mal unspektakulär, lässt sich jedoch zum unbefugten Zugriff auf Speicherbereiche missbrauchen und etwa beim Hauptprozessor zum Verschaffen von root-Rechten oder Ausbrechen aus einer Sandbox missbrauchen. Derartige hardwarebasierte Angriffe haben IT-Forscher inzwischen häufiger aufgespürt, und das Problem ist schlimmer, als zunächst angenommen wurde. Im vergangenen Jahr zeigten IT-Forscher Rowhammer-Angriffe auch auf den inzwischen populären GPUs und nannten das GPUHammer. Nun zeigen IT-Sicherheitsforscher, dass sich mit GPUHammer-Angriffen nicht nur Daten zerstören und so etwa Machine Learning durch Manipulation der Gewichte kompromittieren lassen, sondern echte Rechteausweitung erreichen lässt.

Auf einer eigens dafür angelegten Webseite stellen sie ihren „GPUBreach“ genannten Angriff vor. In der knappen Zusammenfassung erklären sie, dass durch Störung der GPU-Page-Tables CUDA-Kernel ohne weiterreichende Rechte beliebigen GPU-Speicher lesen und beschreiben könne. Das wiederum lasse sich mit neu entdeckten Speicherschutzfehlern der Nvidia-Treiber CPU-seitig verknüpfen. Im Ergebnis kommen die Angreifer so an eine root-Shell, mit der sich das System vollständig kompromittieren lässt. Dazu müsse die IOMMU (Input-Output Memory Management Unit: CPU-Schnittstelle zur Adressübersetzung mit gleichzeitigem DMA-Zugriffsschutz etwa für die Anbindung von PCIe-Geräten) nicht deaktiviert werden, was den Angriff gefährlicher mache.

Mehrere Probleme durch GPUBreach

Die IT-Forscher geben an, dass sie auf einer Nvidia RTX A6000 mit GDDR6-RAM mehrere Angriffe zeigen können. Dazu gehören die GPU-seitige Rechteausweitung, wodurch auch Szenarien mit mehreren Prozessen und Zeit-Teilung (Time-sliced Sharing) betroffen sind. Das Auslesen von geheimen Schlüsseln etwa für Post-Quanten-Kryptografie mit der Nvidia-cuPQC-Bibliothek soll möglich sein. Die Wissenschaftler geben an, dass sie die LLM-Genauigkeit von 80 Prozent auf 0 durch Speichermanipulationen herabsetzen können. Die Rechteausweitung auf der Host-CPU soll mit DMA-Zugriffen möglich sein, da Zugriffe auf Puffer des GPU-Treibers erfolgen. Dabei lässt sich der Treiberstatus stören und ein Fehler im Speicherschutz des Nvidia-Kernel-Treibers ausnutzen, um Schreibzugriff auf den Kernel zu erhalten, mit dem sich wiederum eine root-Shell öffnen lässt.

Zwei weitere GPU-Rowhammer-Angriffe sollen ebenfalls auf dem Symposium vorgestellt werden. Sie nennen sich GDDRHammer und GeForge. GDDRHammer ermöglicht jedoch keine Rechteausweitung zur root-Shell. GeForge könne das zwar auch erreichen, benötige dafür jedoch die Abschaltung der IOMMU, erläutern die IT-Forscher.

Reale Gefährdung

Die IT-Sicherheitsforscher haben Nvidia im Rahmen eines Responsible-Disclosure-Prozesses informiert und im Anschluss auch Google, AWS und Microsoft. Nvidia reagierte mit der Ankündigung einer möglichen Aktualisierung ihrer Sicherheitsmitteilung zur Abwehr von Rowhammer-Angriffen darauf. Google hat dafür eine Belohnung von 600 US-Dollar springen lassen. Um das in Relation zu setzen, sind hochriskante Sicherheitslücken in Google Chrome dem Unternehmen auch mal 43.000 US-Dollar wert. Die Gefahr durch GPUBreach schätzt Google daher nicht sonderlich hoch ein. Das Risiko solcher Schwachstellen ist meist in Cloud-Umgebungen am größten, wo sich Nutzer Rechnerressourcen mit anderen Unbekannten teilen. Unbefugte können die Angriffe dort für bösartige Zwecke missbrauchen und unbefugt auf fremde Ressourcen zugreifen.

Als Schutzmaßnahme hilft das Aktivieren von ECC für den Speicher. Wenn Angriffsmuster mehr als zwei Bits kippen können, was den IT-Forschern zufolge für DDR4- und DDR5-Systeme demonstriert wurde, hilft ECC jedoch auch nicht mehr. Insbesondere auf Laptops und Desktops ist ECC in der Regel ohnehin nicht verfügbar, sodass auf diesen Systemen derzeit kein Schutz besteht.

Links auf das umfassende PDF sowie Codebeispiele laufen derzeit noch ins Leere. Die IT-Forschergruppe will sie aktivieren, wenn sie auf dem 47. „IEEE-Symposium on Security & Privacy“ in Oakland die GPUBreach-Attacken vorgestellt haben, ab dem 13. April 2026.

(dmk)