AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nuevos ataques Rowhammer: GDDRHammer, GeForge y GPUBreach ponen en jaque la seguridad de la memoria gráfica**

admin

### 1. Introducción

La aparición de tres nuevas investigaciones —GDDRHammer, GeForge y GPUBreach— ha vuelto a poner bajo el foco la vulnerabilidad de memoria conocida como Rowhammer, esta vez en el contexto de la memoria gráfica. Estas técnicas ponen de manifiesto la capacidad de manipular y explotar la memoria GDDR, utilizada de forma predominante en tarjetas gráficas modernas, abriendo la puerta a ataques potencialmente devastadores para sistemas que dependen de GPUs de alto rendimiento, como centros de datos, entornos de inteligencia artificial y estaciones de trabajo profesionales.

### 2. Contexto del Incidente o Vulnerabilidad

Rowhammer, originalmente documentado en 2014, explota la debilidad física de las celdas DRAM, permitiendo que la lectura repetida de filas específicas induzca cambios de bit en filas adyacentes. Hasta ahora, los ataques Rowhammer se habían centrado principalmente en la memoria principal (DDR3 y DDR4), pero los recientes trabajos presentados en conferencias de seguridad de 2024 demuestran que la memoria GDDR5 y GDDR6 —ampliamente utilizada en tarjetas gráficas NVIDIA y AMD— no está exenta de esta amenaza.

Las tres investigaciones han demostrado, con pruebas empíricas, la viabilidad de explotar Rowhammer sobre chips de memoria gráficos, incluso en configuraciones modernas y actualizadas, lo que amplía significativamente la superficie de ataque y obliga a replantear estrategias de mitigación a nivel hardware y software.

### 3. Detalles Técnicos

**CVE y Vectores de Ataque**

Aunque todavía no se han asignado CVE específicos para estos ataques (a junio de 2024), sus vectores y técnicas están bien documentados en preprints y presentaciones recientes:

– **GDDRHammer**: Explota la arquitectura de memoria GDDR6 de tarjetas gráficas NVIDIA RTX, induciendo bit flips mediante acceso intensivo a zonas específicas de VRAM a través de APIs gráficas estándar y cargas de trabajo diseñadas.
– **GeForge**: Utiliza la aceleración por hardware de la GPU para amplificar la tasa de acceso a las celdas de memoria, logrando flipping de bits en configuraciones protegidas por ECC (Error Correction Code).
– **GPUBreach**: Demuestra la exfiltración de información sensible (como claves criptográficas o datos de usuario) mediante la explotación de errores inducidos por Rowhammer en la memoria GDDR, empleando técnicas avanzadas de canal lateral.

**Frameworks y Herramientas Utilizadas**

Las investigaciones han empleado herramientas como CUDA, OpenCL y librerías de acceso bajo nivel a hardware gráfico, así como entornos de explotación propios y el uso de frameworks de fuzzing para maximizar el acceso repetido a filas de memoria. No se descarta la integración futura de estos ataques en frameworks como Metasploit o Cobalt Strike, dado su potencial impacto.

**TTP MITRE ATT&CK**

– **Tactic**: Execution (TA0002), Defense Evasion (TA0005), Collection (TA0009)
– **Technique**: Hardware Additions (T1200), Data from Local System (T1005), Exploitation for Privilege Escalation (T1068)

**Indicadores de Compromiso (IoC)**

– Accesos inusuales y repetidos a regiones específicas de memoria VRAM.
– Anomalías en los logs de drivers gráficos.
– Cambios inexplicables en los valores almacenados en buffers de GPU.

### 4. Impacto y Riesgos

El principal riesgo reside en la posibilidad de ejecutar código malicioso desde un contexto de usuario que afecte la integridad de la memoria de la GPU, permitiendo la elevación de privilegios, la exfiltración de datos y la manipulación de procesos críticos. Se estima que más del 70% de las tarjetas gráficas dedicadas lanzadas desde 2020 podrían ser susceptibles, afectando a infraestructuras cloud, servicios de IA, estaciones de trabajo y plataformas de gaming profesional.

El impacto económico es potencialmente alto, considerando el uso extensivo de GPUs en centros de datos y la necesidad de reemplazo o actualización de hardware. Además, la privacidad de los datos y la confidencialidad en entornos regulados por GDPR y NIS2 pueden verse comprometidas.

### 5. Medidas de Mitigación y Recomendaciones

Actualmente, las mitigaciones deben enfocarse en una combinación de actualizaciones de firmware, endurecimiento de drivers y monitorización de patrones de acceso sospechosos. Las recomendaciones incluyen:

– Aplicar actualizaciones de firmware proporcionadas por los fabricantes de GPUs.
– Limitar el acceso directo a memoria VRAM desde espacios de usuario no privilegiados.
– Emplear soluciones EDR con soporte para detección de amenazas en entornos gráficos.
– Monitorizar logs de drivers y patrones de acceso a VRAM.
– Revisar políticas de segmentación de procesos gráficos en entornos multiusuario.

### 6. Opinión de Expertos

Investigadores de universidades líderes y equipos de respuesta a incidentes han enfatizado la urgencia de abordar esta nueva variante de Rowhammer. Afirman que «el paradigma de seguridad debe extenderse más allá de la memoria principal», y advierten que la creciente dependencia de GPUs en sectores críticos convierte a la memoria GDDR en un objetivo prioritario para actores avanzados (APT). Recomiendan una revisión exhaustiva del ciclo de vida de seguridad en diseños hardware y la colaboración activa entre fabricantes y la comunidad de ciberseguridad.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones que utilizan infraestructuras con alto componente gráfico deben revisar sus políticas de seguridad y considerar la exposición a este tipo de ataques en sus análisis de riesgos. Las implicaciones legales, especialmente bajo el GDPR y la inminente entrada en vigor de NIS2, pueden derivar en sanciones significativas en caso de fuga de datos o compromisos derivados de ataques Rowhammer en GPUs. Los usuarios finales, aunque menos expuestos, podrían ver comprometida la integridad de sus sistemas en escenarios de gaming profesional o minería de criptomonedas.

### 8. Conclusiones

GDDRHammer, GeForge y GPUBreach representan una evolución significativa en el espectro de ataques Rowhammer, trasladando la amenaza a la memoria gráfica y ampliando la superficie de riesgo para organizaciones y usuarios. Es imperativo mantenerse actualizado respecto a vulnerabilidades emergentes en hardware, y adoptar una postura proactiva en la monitorización, actualización y segmentación de recursos gráficos, anticipando un posible aumento de ataques dirigidos a entornos GPU en los próximos meses.

(Fuente: www.kaspersky.com)