De oude kwetsbaarheid Rowhammer krijgt opnieuw aandacht doordat onderzoekers een nieuwe, alarmerende ontwikkeling melden. Twee onafhankelijke onderzoeksgroepen hebben aangetoond dat bepaalde NVIDIA-GPU’s met geheugen GDDR6 kunnen worden gebruikt als ingangspunt om niet alleen het geheugen van de grafische kaart zelf te compromitteren, maar ook het hoofdgeheugen van het gastmachine. De projecten, onder de namen GDDRHammer en GeForge, stellen dat een onbevoegde gebruiker die code op de GPU uitvoert, willekeurige lees- en schrijfbewerkingen op het CPU-geheugen kan uitvoeren, wat uiteindelijk kan leiden tot volledige controle over de machine.
Wat hier bijzonder is, is niet alleen dat Rowhammer meer dan tien jaar na de ontdekking in traditioneel DRAM nog steeds relevant is, maar dat het zich nu ook krachtig naar het grafische domein uitbreidt. De technische divulgatiewebsite van de onderzoekers, gddr.fail, bevestigt dat beide teams erin zijn geslaagd GPU-paginatabellen te beschadigen door middel van bit-flips in GDDR6, waardoor het pad naar toegang tot het hostgeheugen wordt geopend. NVIDIA publiceerde in juli 2025 al een beveiligingsmelding waarin het risico van Rowhammer voor bepaalde geheugenconfiguraties werd erkend, met mitigaties zoals systeemniveau ECC als oplossing.
Van een betrouwbaarheidsschandaal tot een volledige escaleringsroute
Volgens de openbare uitleg van GDDRHammer maakt de aanval gebruik van nieuwe hammerpatronen en technieken om interne mitigaties van het apparaat te omzeilen. Dit resulteert in een veel hoger aantal bit-flips dan in eerdere GPU-onderzoeken. Het team heeft 25 GPU’s met GDDR6 gekarakteriseerd, waaronder professionele modellen uit de Ampere en Ada series, en beschrijft een fout in de standaard toegewezen geheugenallocator (cudaMalloc) die het isolatieprincipe tussen paginatabellen en gebruikersgegevens op de GPU kan doorbreken. Na het wijzigen van adresvertalingen zou een aanvaller via de GPU zelf gegevens kunnen lezen en schrijven in het volledige CPU-geheugen.
GeForge bereikt een vergelijkbaar resultaat via een andere technische invalshoek. Hieruit blijkt dat de aanval paginatabel-translatie in GPU’s beschadigt door middel van bit-flips in GDDR6, en dat wanneer IOMMU uit staat, deze arbitriaire toegang tot het hostgeheugen mogelijk maakt en zelfs kan leiden tot een root-shell. De onderzoekswebsite toont een demonstratie van de exploitatie en benadrukt dat het uiteindelijke doel niet is het verstoren van neurale netwerken of het degraderen van berekeningen, maar het direct doorbreken van de grens tussen GPU en CPU.
Een derde onderzoekslijn, GPUBreach, is eveneens publiek bekend gemaakt via Ars Technica. Dit project volgt een andere aanpak: het combineert Rowhammer-aanvallen op de GPU met beveiligingsfouten in de NVIDIA-driver om privileges te escaleren, zelfs wanneer IOMMU is ingeschakeld. Omdat dit derde werk niet in detail wordt beschreven op de open technische website van gddr.fail, wordt het met enige voorzichtigheid behandeld en beschouwd als een aanvullende aanvulling op de andere onderzoeken, niet als onderdeel van hetzelfde basisrapport.
Welke kaarten zijn officieel getroffen?
Het is belangrijk om de bewezen gevallen te scheiden van de hypothesen. Volgens gddr.fail en de technische rapportage zijn de GeForce RTX 3060 en professionele/workstation-GPU’s uit de RTX 6000 / RTX A6000-reeks met GDDR6, vooral van de Ampere-generatie, de meest bekende slachtoffers. NVIDIA’s veiligheidsnota uit 2025 noemde expliciet een potentiële aanval op een NVIDIA A6000 GPU met GDDR6-geheugen en vermeldde dat de Universiteit van Toronto mitigaties had gevonden door System-Level ECC te activeren.
Er is echter geen openbare bewijsvoering dat alle moderne NVIDIA-GPU’s kwetsbaar zijn. De website van gddr.fail geeft aan dat ze denken dat elk systeem met een moderne GPU en GDDR6 mogelijk vatbaar is, maar er bestaat geen sluitende lijst van modellen die zeker kwetsbaar zijn. Ook wordt vermeld dat GPUs zoals de A100 met HBM2 en de H100 met HBM3 nog geen kwetsbaarheid vertonen, waarschijnlijk omdat het on-die ECC flips detecteert en maskert, al worden verdere scenario’s met agressievere patronen niet uitgesloten.
NVIDIA voegt hieraan toe dat generaties geheugen zoals DDR4, LPDDR5, HBM3 en GDDR7 worden beschermd door On-Die ECC, wat indirecte bescherming biedt tegen Rowhammer. In de publieke lijst van de fabrikant worden onder andere de GeForce RTX 50-reeks vermeld voor GDDR7, hetgeen de alarmfase voor nieuwere kaarten beperkt tot GDDR6-systemen, omdat er op dit moment geen technische onderbouwing is dat deze kwetsbaar zouden zijn.
Mitigaties: ECC en IOMMU, maar met beperkingen
De meest genoemde mitigaties zijn system ECC activeren op de GPU en IOMMU inschakelen in BIOS of hostconfiguratie. De FAQ van gddr.fail beveelt ECC aan als tijdelijke maatregel, hoewel het de bruikbare geheugenruimte verkleint en enige prestatiedaling kan veroorzaken. NVIDIA bevestigt dat System-Level ECC een van de aanbevolen verdedigingen is om exploitatie te voorkomen of te beperken.
Wat IOMMU betreft, beschrijven de onderzoekers van GDDRHammer en GeForge dat het een effectieve maatregel kan zijn om te beperken welke delen van het hostgeheugen door de GPU kunnen worden aangesproken, waardoor de belangrijkste aanvalsmogelijkheid wordt gesloten. Ars Technica wijst er echter op dat de derde aanval, GPUBreach, een route heeft gevonden die niet afhankelijk is van IOMMU-status en ook gebruikmaakt van driverfouten. Dit onderstreept dat IOMMU een belangrijke maar niet onneembare verdedigingslijn blijft, en dat toekomstige aanvallen mogelijk niet door deze maatregel worden gestopt.
De meest verstandige conclusie is niet dat iedereen onmiddellijk in paniek moet raken, maar dat gedeelde GPU’s, werkstations en cloud-omgevingen met gedeelde accelerators nu extra aandacht verdienen. Het onderstreept ook dat de klassieke maatregelen tegen Rowhammer niet meer uitsluitend op de CPU mogen worden gebaseerd. De auteurs van GDDRHammer benadrukken dat een serieuze mitigatiestrategie ook de grafische geheugenarchitectuur moet betrekken.
Veelgestelde vragen
Welke NVIDIA-GPU’s zijn officieel bevestigd als kwetsbaar?
De publieke demonstraties en rapportages richten zich op de GeForce RTX 3060 en professionele/workstationmodellen zoals de RTX 6000 / RTX A6000 met GDDR6, vooral uit de Ampere-serie. Onderzoek suggereert dat andere GDDR6-kaarten mogelijk ook kwetsbaar zijn, maar er bestaat geen officiële lijst van alle modellen die zeker getroffen zijn.
Beïnvloeden GDDR7- of HBM-kaarten dit ook?
Volgens de beschikbare publieke informatie is dat momenteel niet bevestigd. NVIDIA geeft aan dat GDDR7 en andere moderne geheugentypen wel ECC bevat, en dat de onderzochte high-end modules zoals de A100 (HBM2) en de H100 (HBM3) niet in de huidige tests kwetsbaar bleken. De mogelijke kwetsbaarheid voor deze typen blijft onderwerp van toekomstig onderzoek.
Helpt het inschakelen van IOMMU?
Ja, het beperkt duidelijk de aanvalsmogelijkheden van GDDRHammer en GeForge doordat het toegang tot het hostgeheugen door de GPU verder restrict en zo de belangrijkste kwetsbaarheidsweg afsluit. Echter, Ars Technica meldt dat de GPUBreach-aanval, gebruikmakend van driverfouten, ook met ingeschakelde IOMMU succesvol bleek. Daarmee is IOMMU een belangrijke, maar niet onfeilbare maatregel.
Is het activeren van ECC op de GPU een goed idee?
Ja, het wordt sterk aanbevolen door zowel NVIDIA als de onderzoekers. Het biedt een effectieve bescherming tegen bit-flips, maar heeft ook nadelen: het vermindert het bruikbare geheugen en kan prestatieverlies veroorzaken. De FAQ van gddr.fail waarschuwt dat ook met ECC er nog steeds manieren zijn om Rowhammer-aanvallen uit te voeren, afhankelijk van de aanvalstechniek en de configuratie.
Bronnen: arstechnica, videocardz en Gddr.fail