A NVIDIA está instando seus clientes a ativar os Códigos de Correção de Erro em Nível de Sistema (ECC) como uma defesa contra uma variante de um ataque RowHammer demonstrada contra suas unidades de processamento gráfico (GPUs).
"O risco de exploração bem-sucedida dos ataques RowHammer varia conforme o dispositivo DRAM, plataforma, especificações de design e configurações do sistema," afirmou o fabricante de GPU em um comunicado divulgado esta semana.
Apelidado de GPUHammer, os ataques marcam a primeira demonstração de um exploit RowHammer contra as GPUs da NVIDIA (por exemplo, NVIDIA A6000 GPU com Memória GDDR6), permitindo que usuários mal-intencionados de GPU manipulem os dados de outros usuários desencadeando flips de bit na memória da GPU.
A consequência mais preocupante desse comportamento, encontrada por pesquisadores da Universidade de Toronto, é a degradação da precisão de um modelo de inteligência artificial (IA) de 80% para menos de 1%.
RowHammer é para DRAMs modernos assim como Spectre e Meltdown são para CPUs contemporâneas.
Enquanto ambos são vulnerabilidades de segurança a nível de hardware, RowHammer visa o comportamento físico da memória DRAM, enquanto Spectre explora a execução especulativa em CPUs.
RowHammer causa flips de bit em células de memória adjacentes devido à interferência elétrica em DRAM, decorrente de acessos à memória repetidos, enquanto Spectre e Meltdown permitem que atacantes obtenham informações privilegiadas da memória por meio de um ataque lateral, potencialmente vazando dados sensíveis.
Em 2022, acadêmicos da Universidade de Michigan e Georgia Tech descreveram uma técnica chamada SpecHammer que combina RowHammer e Spectre para lançar ataques especulativos.
A abordagem essencialmente envolve desencadear um ataque Spectre v1 usando flips de bit do Rowhammer para inserir valores maliciosos em gadgets da vítima.
GPUHammer é a variante mais recente de RowHammer, mas capaz de induzir flips de bit em GPUs da NVIDIA, apesar da presença de mitigações como a taxa de atualização alvo (TRR).
Em uma prova de conceito desenvolvida pelos pesquisadores, o uso de um único flip de bit para adulterar os modelos de redes neurais profundas (DNN) da ImageNet de uma vítima pode degradar a precisão do modelo de 80% para 0,1%.
Exploits como o GPUHammer ameaçam a integridade dos modelos de IA, que dependem cada vez mais de GPUs para realizar processamento paralelo e executar tarefas computacionalmente exigentes, sem mencionar que abre uma nova superfície de ataque para plataformas em nuvem.
Para mitigar o risco representado pelo GPUHammer, é aconselhável ativar o ECC por meio de "nvidia-smi -e 1".
Novas GPUs da NVIDIA como H100 ou RTX 5090 não são afetadas devido ao fato de apresentarem ECC integrado, que ajuda a detectar e corrigir erros decorrentes de flutuações de tensão associadas a chips de memória menores e mais densos.
"Ativar os Códigos de Correção de Erro (ECC) pode mitigar esse risco, mas o ECC pode introduzir uma redução de até 10% para payloads de trabalho de inferência de [aprendizado de máquina] em uma GPU A6000," disseram Chris (Shaopeng) Lin, Joyce Qu e Gururaj Saileshwar, os principais autores do estudo, acrescentando que também reduz a capacidade de memória em 6,25%.
A divulgação ocorre enquanto pesquisadores dos Laboratórios de Informática Social da NTT e da CentraleSupelec apresentaram o CrowHammer, um tipo de ataque RowHammer que possibilita um ataque de recuperação de chave contra o esquema de assinatura pós-quântica FALCON (FIPS 206), selecionado pelo NIST para padronização.
"Usando RowHammer, visamos a RCDT [tabela de distribuição cumulativa reversa] do Falcon para desencadear um número muito pequeno de flips de bit direcionados, e provamos que a distribuição resultante é suficientemente enviesada para realizar um ataque de recuperação de chave," disse o estudo.
Mostramos que um único flip de bit direcionado é suficiente para recuperar completamente a chave de assinatura, dado algumas centenas de milhões de assinaturas, com mais flips de bit permitindo a recuperação da chave com menos assinaturas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...