RowHammer ist ein seit Langem bekannter Zuverlässigkeitsfehler in DRAM-Speicher: Wiederholte Zugriffe auf eine Speicherzeile („Hammering") erzeugen elektrische Störungen, die in benachbarten Zeilen Bits kippen lassen – aus 0 wird 1 oder umgekehrt. Damit werden Isolationsgarantien untergraben, die für moderne Betriebssysteme und Sandboxes grundlegend sind. DRAM-Hersteller setzen dagegen Hardware-Schutzmaßnahmen wie Error-Correcting Code (ECC) und Target Row Refresh (TRR) ein.
Im Juli 2025 weiteten Forscher der University of Toronto die Bedrohung mit GPUHammer auf GPUs aus – der erste praktische RowHammer-Angriff gegen NVIDIA-GPUs mit GDDR6-Speicher. Mit Techniken wie mehrfädigem, parallelem Hammering überwanden sie architektonische Hürden, die GPUs bis dahin als immun gegen Bitflips erscheinen ließen. Als Folge eines erfolgreichen GPUHammer-Angriffs sinkt die Genauigkeit von Machine-Learning-Modellen, die auf einer GPU laufen, um bis zu 80 Prozent.
GPUBreach erweitert diesen Ansatz, um über RowHammer GPU-Page-Tables zu verfälschen und so eine Rechteausweitung mit beliebigem Lese- und Schreibzugriff auf den GPU-Speicher zu erreichen. Folgenreicher ist, dass der Angriff geheime kryptografische Schlüssel aus NVIDIA cuPQC auslesen, Angriffe zur Verschlechterung der Modellgenauigkeit vorbereiten und eine CPU-Rechteausweitung bei aktivierter IOMMU erzielen kann.
Den Forschern zufolge löst die kompromittierte GPU einen Direct Memory Access in einen vom IOMMU erlaubten CPU-Speicherbereich aus – die eigenen Puffer des GPU-Treibers. Durch das Verfälschen dieses vertrauenswürdigen Treiberzustands werden Speichersicherheitsfehler im NVIDIA-Kerneltreiber ausgelöst, was ein beliebiges Schreibprimitiv im Kernel liefert und zum Start einer Root-Shell genutzt wird.
Die Veröffentlichung von GPUBreach fällt mit zwei parallelen Arbeiten zusammen: GDDRHammer und GeForge. Beide drehen sich ebenfalls um die Verfälschung von GPU-Page-Tables per GDDR6-RowHammer und ermöglichen eine Rechteausweitung auf GPU-Seite sowie beliebigen Lese- und Schreibzugriff auf den CPU-Speicher. GPUBreach hebt sich davon ab, weil es zusätzlich eine vollständige CPU-Rechteausweitung erlaubt.
GeForge benötigt für seine Funktion eine deaktivierte IOMMU, während GDDRHammer das Aperture-Feld im Page-Table-Eintrag der GPU verändert, damit ein nicht privilegierter CUDA-Kernel den gesamten Host-Speicher lesen und schreiben kann. Laut den beiden Teams besteht ein wesentlicher Unterschied darin, dass GDDRHammer die unterste Page-Table-Ebene (PT) und GeForge das unterste Page-Directory (PD0) ausnutzt; beide erreichen aber dasselbe Ziel, die Adressübersetzung der GPU-Page-Tables zu kapern.
Als vorübergehende Gegenmaßnahme lässt sich ECC auf der GPU aktivieren. Allerdings haben RowHammer-Angriffe wie ECCploit und ECC.fail gezeigt, dass diese Schutzfunktion umgangen werden kann. Erzeugen Angriffsmuster mehr als zwei Bitflips – auf DDR4- und DDR5-Systemen nachgewiesen –, kann bestehendes ECC diese nicht korrigieren und verursacht möglicherweise sogar stille Datenkorruption; ECC ist damit kein verlässlicher Schutz gegen GPUBreach. Für Desktop- und Laptop-GPUs, bei denen ECC derzeit nicht verfügbar ist, sind den Forschern keine Gegenmaßnahmen bekannt.
