GeForge и GDDRHammer: Rowhammer-атаки на VRAM Nvidia

Исследователи описали две новые Rowhammer-атаки на память видеокарт Nvidia — GDDRHammer и GeForge. Они бьют по GDDR6-памяти и через битовые ошибки в защищенных областях VRAM могут дать злоумышленнику чтение и запись, а дальше — выход в системную память и контроль над машиной.

О находке подробно написала Ars Technica. Технические детали и документы команды выложили на сайте gddr.fail.

Чем GeForge и GDDRHammer отличаются от прошлогоднего GPUHammer

Rowhammer знают по атакам на оперативную память ПК: если часто дергать соседние строки памяти, можно вызвать bit flip — смену 0 на 1 или наоборот. Из-за этого рушатся границы доступа, и атакующий получает более высокий уровень привилегий.

До недавнего времени Rowhammer ассоциировали с CPU и DDR-памятью. В конце 2025 года исследователи впервые показали, что уязвима и видеопамять: атака GPUHammer на RTX A6000 с GDDR6 могла одним битовым сбоем уронить точность AI-модели с 80% до 0,1%.

Новые атаки идут дальше. Их цель — не просто испортить вычисления, а добраться до структур управления памятью на GPU и получить полный доступ к VRAM, а затем — к системной памяти.

Как работает GDDRHammer: «умный» Rowhammer и 129 flips на банк

GDDRHammer использует тот же принцип «молотка», но делает атаку более управляемой. В исследовании описали технику memory massaging: она «подталкивает» целевые структуры данных в области VRAM, которые хуже защищены от электрических помех со стороны драйверов.

В результате команда добилась до 129 битовых переворотов на один банк памяти. Дальше атакующий бьет по page tables GPU — таблицам страниц, которые связывают виртуальные адреса с физическими адресами в VRAM.

Если повредить эти таблицы, ломается изоляция памяти между задачами. Исследователи описывают итог просто: атакующий получает полный read/write к VRAM.

GeForge бьет глубже: до 1171 flips на RTX 3060 и атака на page directory

GeForge похож на GDDRHammer по механике, но целится в более «верхний» уровень адресации — page directory, который указывает на таблицы страниц. Если сломать directory, атакующий подрывает защиту на более глубоком уровне.

В эксперименте команда смогла вызвать 1 171 битовый переворот на RTX 3060 и 202 переворота на RTX A6000. Да, это бьет по надежности памяти, но исследователи отдельно подчеркивают риск для всей системы.

Формулировка из их работы звучит жестко: «an attacker can modify the page table on the GPU to point to memory on the CPU, thereby giving the attacker the ability to read/write all of the CPU’s memory as well, which of course completely compromises the machine». По сути, через подмену отображения памяти GPU можно нацелиться на RAM CPU и получить полный контроль.

Еще одна деталь: GeForge, по описанию исследователей, работает даже если IOMMU отключен в BIOS.

Какие видеокарты под риском и что с защитой

Пока уязвимость подтверждена для GDDR6. Исследователи протестировали 25 GPU с этой памятью и нашли уязвимости в большинстве образцов.

Более новые видеокарты с GDDR6X и GDDR7 тоже проверяли, но скомпрометировать их пока не смогли.

Nvidia ранее советовала включать ECC как меру против Rowhammer. У этого есть цена: ECC режет доступный объем VRAM, дает накладные расходы по скорости и доступен не на каждой карте.

Второй барьер — IOMMU в BIOS. Это механизм, который жестко ограничивает DMA-доступ устройств к системной памяти. В описании исследователей включенный IOMMU закрывает уязвимость, потому что даже поврежденные таблицы отображения на GPU не дают выйти за «песочницу» в RAM CPU.

При этом Rowhammer-атаки такого типа требуют локального доступа к системе, чтобы запустить код. Риск выше в среде с общими ресурсами, например в кластерах с GPU под AI-нагрузки. Технические документы по обеим атакам опубликованы на gddr.fail, а обзор последствий для безопасности — у Ars Technica.