Исследователи из Университета Торонто готовят к публикации в 2026 году на симпозиуме IEEE по безопасности и конфиденциальности шокирующие данные о новой методике атаки, получившей название GPUBreach. Она демонстрирует, как манипуляции с памятью графического процессора (GPU) могут привести к полному компрометированию системы, включая получение привилегий суперпользователя (root) на центральном процессоре. Наиболее тревожным аспектом является то, что этот метод успешно обходит стандартные аппаратные средства защиты, такие как модуль управления памятью ввода-вывода (IOMMU), что знаменует собой значительную эскалацию в сфере аппаратных угроз.
Детали уязвимости
Ранние атаки класса Rowhammer, направленные на GPU, в основном приводили к локальному повреждению данных, например, к незначительному снижению точности моделей машинного обучения. Однако GPUBreach выводит угрозу на принципиально новый уровень, целенаправленно атакуя таблицы страниц GPU, которые расположены в памяти типа GDDR6. Для этого исследователи провели реверс-инжиниринг драйвера NVIDIA, чтобы понять принципы выделения и хранения этих таблиц страниц вместе с обычными пользовательскими данными.
Механизм атаки является многоступенчатым и изощренным. На первом этапе злоумышленники используют временной побочный канал при работе с выделениями в единой виртуальной памяти (UVM, Unified Virtual Memory) для обнаружения моментов вытеснения страниц из памяти. Это позволяет точно определить, когда и где создается новая область таблицы страниц. Затем, стратегически освобождая и заполняя память, атакующие могут заставить таблицы страниц GPU разместиться непосредственно рядом с уязвимыми строками памяти. После этого с помощью целенаправленной атаки Rowhammer, вызывающей переворот бита, изменяется запись в таблице страниц. Эта манипуляция предоставляет непривилегированному ядру CUDA произвольный доступ на чтение и запись ко всей памяти GPU.
Обладая полным контролем над адресным пространством графического процессора, злоумышленник получает возможность для проведения разрушительных межпроцессных атак. Исследовательская группа подтвердила работоспособность GPUBreach на видеокарте NVIDIA RTX A6000, продемонстрировав несколько критических последствий для безопасности. Во-первых, атакующие могут извлекать секретные криптографические ключи непосредственно из библиотеки постквантовой криптографии NVIDIA cuPQC в процессе активного обмена ключами. Во-вторых, возможно скрытое снижение точности модели искусственного интеллекта с 80% до нуля путем модификации всего одной ветки кода. В-третьих, появляется возможность кражи высокочувствительных весовых коэффициентов большой языковой модели (LLM, Large Language Model), находящихся в оперативной памяти GPU. Наконец, что наиболее важно, эксплойт позволяет получить оболочку суперпользователя на центральном процессоре, используя цепочку из доступа к памяти GPU и вновь обнаруженных ошибок безопасности памяти в драйвере ядра NVIDIA.
Ключевым операционным прорывом GPUBreach является её способность функционировать при активном модуле управления памятью ввода-вывода. IOMMU - это фундаментальная защита корпоративного уровня, которая ограничивает физические адреса центрального процессора, доступные для периферийных устройств через шину PCIe. Предыдущие исследования в области аппаратных атак 2026 года требовали отключения этой критически важной защиты для достижения цели, что сильно ограничивало их применимость в реальных условиях. GPUBreach использует иной, более хитрный подход: вместо прямого обхода аппаратного IOMMU, эксплойт манипулирует программным уровнем. Скомпрометированный GPU получает команду записать данные в определённые буферы памяти, принадлежащие драйверу, доступ к которым явно разрешён IOMMU. Однако атака при этом активно повреждает метаданные внутри этих доверенных буферов. Когда высокопривилегированный драйвер ядра NVIDIA обрабатывает эти скомпрометированные метаданные на центральном процессоре, это провоцирует запись за пределами выделенной области памяти. Таким образом, атакующий получает полный контроль над операционной системой, никогда не активируя стандартные аппаратные сигналы тревоги безопасности.
Это открытие имеет далеко идущие последствия для индустрии информационной безопасности, особенно для облачных провайдеров, сферы машинного обучения и высокопроизводительных вычислений, где активно используются GPU. Оно ставит под сомнение эффективность изолированных сред, полагающихся на аппаратные гарантии, и указывает на необходимость пересмотра архитектурной безопасности на стыке драйверов, памяти и аппаратного обеспечения. Устранение подобных фундаментальных уязвимостей потребует скоординированных усилий как со стороны производителей аппаратного обеспечения, так и разработчиков программного обеспечения, и может привести к появлению новых парадигм защиты на уровне микроархитектуры.
