Một kỹ thuật tấn công mới được đặt tên là GPUBreach, có thể gây ra hiện tượng bit flip (một kiểu thay đổi dữ liệu bộ nhớ không chủ ý) Rowhammer trên bộ nhớ GDDR6 của GPU để leo thang đặc quyền và dẫn đến xâm phạm hoàn toàn hệ thống mục tiêu.
Vừa qua, các nhà nghiên cứu đến từ Đại học Toronto (Canada) đã chứng minh bit flip do thuật toán Rowhammer gây ra trong GDDR6 có thể làm hỏng bảng trang GPU (PTE) và cấp quyền truy cập đọc/ghi bộ nhớ GPU tùy ý cho CUDA kernel không có đặc quyền.
Kẻ tấn công sau đó có thể thực hiện leo thang quyền truy cập CPU nếu khai thác các lỗi an toàn bộ nhớ trong NVIDIA driver, từ đó có khả năng xâm phạm hoàn toàn hệ thống mà không cần phải vô hiệu hóa tính năng bảo vệ của Input-Output Memory Management Unit (IOMMU).
Các bước tấn công GPUBreach
IOMMU là một đơn vị phần cứng bảo vệ chống lại các cuộc tấn công trực tiếp vào bộ nhớ, nó kiểm soát và hạn chế cách các thiết bị truy cập bộ nhớ bằng cách quản lý các vùng bộ nhớ mà mỗi thiết bị có thể truy cập. Mặc dù là một biện pháp hiệu quả chống lại hầu hết các cuộc tấn công truy cập bộ nhớ trực tiếp (DMA), nhưng IOMMU không ngăn chặn được GPUBreach.
Các nhà nghiên cứu giải thích: “Bằng cách làm hỏng bảng trang GPU, một CUDA kernel thông thường có thể giành quyền đọc/ghi bộ nhớ GPU tùy ý, sau đó tận dụng khả năng đó để leo thang quyền truy cập CPU, bằng cách khai thác các lỗi an toàn bộ nhớ mới được phát hiện trong NVIDIA driver. Kết quả là hệ thống bị xâm nhập trên diện rộng, thậm chí có thể chiếm quyền điều khiển shell root, mà không cần vô hiệu hóa IOMMU. Khác với các công cụ hiện đại, khiến GPUBreach trở thành mối đe dọa nguy hiểm hơn”.
Tổng quan về cách GPUBreach hoạt động
Chính các nhà nghiên cứu này trước đây đã phân tích GPUHammer - một kỹ thuật chứng minh các cuộc tấn công Rowhammer vào GPU là khả thi, buộc NVIDIA phải đưa ra cảnh báo cho người dùng và đề xuất kích hoạt cơ chế giảm thiểu ECC cấp hệ thống (System Level Error-Correcting Code) để ngăn chặn các nỗ lực tấn công như vậy vào bộ nhớ GDDR6.
Tuy nhiên, GPUBreach đang đưa mối đe dọa lên một tầm cao mới, cho thấy rằng nó không chỉ có thể làm hỏng dữ liệu mà còn có thể giành được quyền root khi IOMMU được kích hoạt.
Các nhà nghiên cứu đã minh họa kết quả bằng GPU NVIDIA RTX A6000 với GDDR6. Mô hình này được sử dụng rộng rãi trong các tác vụ phát triển và huấn luyện trí tuệ nhân tạo (AI).
So sánh với các cuộc tấn công GPU khác
Các nhà nghiên cứu của Đại học Toronto đã báo cáo kết quả nghiên cứu của họ cho NVIDIA, Google, AWS và Microsoft vào ngày 11/11/2025. Google xác nhận báo cáo và trao cho các nhà nghiên cứu khoản tiền thưởng 600 USD để tìm lỗi. NVIDIA cho biết họ có thể cập nhật thông báo bảo mật hiện có từ tháng 7/2025 để bao gồm các khả năng tấn công mới được phát hiện.
Cần chú ý, RAM ECC giúp sửa lỗi single-bit flip và phát hiện lỗi double-bit flip, nhưng không đáng tin cậy đối với lỗi multi-bit flip.
Cuối cùng, các nhà nghiên cứu nhấn mạnh, GPUBreach hoàn toàn không có biện pháp giảm thiểu nào đối với các GPU dành cho người dùng không sử dụng ECC, họ sẽ công bố đầy đủ chi tiết công trình của mình, bao gồm một bài báo kỹ thuật và một kho lưu trữ GitHub với package và script reproduction vào ngày 13/4.