GPU 驱动漏洞分析与利用技术详解<\/h1>

背景介绍<\/h2>

现代移动SOC平台由多个硬件模块组成，包括：<\/p>

CPU<\/li>
GPU<\/li>
Modem基带处理器<\/li>

ISP(图像处理器)<\/li> <\/ul>

这些模块通过硬件总线互联，协同工作。在GPU驱动安全研究中，最关键的特性是GPU和CPU共享同一块RAM<\/strong>。<\/p>

CPU侧操作系统通过管理CPU MMU的页表实现虚拟地址到物理地址的映射。GPU也有自己的MMU，但GPU的页表由CPU内核中的GPU驱动管理，从而限制GPU能够访问的物理地址范围。<\/p>

典型业务场景：<\/p>

CPU侧分配一段物理内存<\/li>
映射给GPU<\/li>
GPU从共享内存中取出数据完成计算\/渲染<\/li>
将结果写回共享内存<\/li> <\/ol>
GPU驱动攻击面<\/h2>
GPU驱动安全研究的特殊攻击面在于其需要维护GPU页表，这个过程复杂且容易出现问题。历史上出现了多个由于GPU页表管理失误导致的安全漏洞。<\/p>
ARM Mali驱动代表性漏洞<\/h3>

漏洞<\/th> 类型<\/th> 漏洞原语<\/th> <\/tr> <\/thead>

CVE-2021-39793<\/td> 页权限错误<\/td> 篡改只读映射到用户进程的物理页<\/td> <\/tr>
CVE-2021-28664<\/td> 页权限错误<\/td> 篡改只读映射到用户进程的物理页<\/td> <\/tr>
CVE-2021-28663<\/td> GPU MMU操作异常<\/td> 物理页UAF<\/td> <\/tr>
CVE-2023-4211<\/td> 条件竞争<\/td> SLUB对象UAF<\/td> <\/tr>
CVE-2023-48409<\/td> 整数溢出<\/td> 堆溢出<\/td> <\/tr>
CVE-2023-26083<\/td> 内核地址泄露<\/td> 内核地址泄露<\/td> <\/tr>
CVE-2022-46395<\/td> 条件竞争<\/td> 物理页UAF<\/td> <\/tr> <\/tbody> <\/table>
典型漏洞分析<\/h2>
CVE-2021-28664分析<\/h3>
漏洞补丁关键点<\/strong>：
将get_user_pages<\/code>参数中的reg->flags & KBASE_REG_CPU_WR<\/code>替换为reg->flags & (KBASE_REG_CPU_WR | KBASE_REG_GPU_WR)<\/code><\/p>
标记说明<\/strong>：<\/p>
KBASE_REG_CPU_WR<\/code>：reg能以写权限映射到用户态进程<\/li> KBASE_REG_GPU_WR<\/code>：reg能以写权限映射到GPU<\/li> <\/ul> 内存管理结构<\/strong>：<\/p> kbase_va_region<\/code>：管理物理内存，包括申请\/释放、GPU\/CPU页表映射管理<\/li> cpu_alloc<\/code>和gpu_alloc<\/code>：指向kbase_mem_phy_alloc<\/code>，表示reg拥有的物理页<\/li> flags<\/code>字段：控制驱动映射reg时的权限<\/li> <\/ul> 漏洞利用<\/strong>：<\/p> 创建reg->flags<\/code>为KBASE_REG_CPU_WR<\/code>的kbase_va_region<\/code><\/li> 导入页面时获取进程中任意va对应page到kbase_va_region<\/code><\/li> 以可写权限映射到用户态进程<\/li> 篡改进程中任意只读映射对应的物理页<\/li> <\/ol> 利用方式<\/strong>：<\/p> 修改Page Cache<\/strong>：<\/p> 只读映射libc.so<\/li> 篡改其在Page Cache中的物理页，注入shellcode<\/li> 等高权限进程调用时提权<\/li> <\/ul> <\/li> 修改binder驱动<\/strong>：<\/p> 篡改flat_binder_object->handle<\/code><\/li> 触发binder_transaction_buffer_release<\/code><\/li> 导致node引用计数不平衡<\/li> 转换为binder_node的UAF<\/li> <\/ul> <\/li> <\/ol> CVE-2021-28663分析<\/h3> 漏洞类型<\/strong>：GPU物理页映射管理导致的物理页UAF<\/p> 关键结构<\/strong>：<\/p> kbase_va_region<\/code>：表示物理内存资源<\/li> kbase_mem_phy_alloc<\/code>：管理物理页<\/li> <\/ul> 漏洞相关接口<\/strong>：<\/p> kbase_api_mem_alias<\/code>：创建别名映射<\/li> kbase_api_mem_flags_change<\/code>：释放kbase_mem_phy_alloc<\/code>中的物理页<\/li> <\/ol> 漏洞原理<\/strong>：<\/p> kbase_api_mem_alias<\/code>增加aliased[i]->kref<\/code>确保使用中不被释放<\/li> kbase_mmap<\/code>映射内存时增加aliased[i]->gpu_mappings<\/code><\/li> kbase_api_mem_flags_change<\/code>能在不释放alloc时释放其中的物理页<\/li> 导致物理页UAF<\/li> <\/ol> 利用技术<\/strong>：<\/p> 篡改进程页表：fork + mmap大量分配进程页表占位释放的物理页<\/li> 篡改GPU页表：通过GPU驱动接口分配GPU页表占位<\/li> 篡改内核对象：喷射内核对象(如task_struct、cred)占位<\/li> <\/ol> CVE-2022-46395分析<\/h3> 漏洞类型<\/strong>：条件竞争导致的物理页UAF<\/p> 漏洞代码<\/strong>：<\/p> static<\/span> int<\/span> kbasep_write_soft_event_status<\/span>(struct<\/span> kbase_context *<\/span>kctx, u64 evt, unsigned<\/span> char<\/span> new_status) { <\/span><\/span> mapped_evt =<\/span> kbase_vmap_prot(kctx, evt, sizeof<\/span>(*<\/span>mapped_evt), KBASE_REG_CPU_WR, &<\/span>map); <\/span><\/span> \/\/ Race window start <\/span><\/span><\/span><\/span> if<\/span> (!<\/span>mapped_evt) return<\/span> -<\/span>EFAULT; <\/span><\/span> *<\/span>mapped_evt =<\/span> new_status; <\/span><\/span> \/\/ Race window end <\/span><\/span><\/span><\/span> kbase_vunmap(kctx, &<\/span>map); <\/span><\/span> return<\/span> 0<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>利用方法<\/strong>：<\/p> 在kbase_vmap_prot<\/code>和*mapped_evt<\/code>之间触发时钟中断<\/li> 扩大时间窗，在两步之间释放mapped_evt<\/code>对应的物理页<\/li> 实现物理页UAF写(只能写0或1)<\/li> <\/ol> 占位技术<\/strong>：<\/p> 使用vzalloc<\/code>分配内存，根据大小计算分配的物理页数目<\/li> 逐次调用alloc_page<\/code>分配物理页占位<\/li> <\/ul> 整数溢出漏洞(CVE-2023-48409)<\/h3> 漏洞转换<\/strong>：<\/p> 利用摄像头驱动的堆溢出漏洞<\/li> 篡改kbase_mem_phy_alloc<\/code>的gpu_mappings<\/code>为0<\/li> 构造物理页UAF<\/li> <\/ol> MTE绕过<\/strong>：<\/p> 即使启用MTE，仍有50%概率完成溢出不被检测<\/li> MTE检测到溢出也不会导致内核Panic，只是杀掉用户进程<\/li> 允许攻击者无限尝试<\/li> <\/ul> 总结<\/h2> 研究演进<\/strong>：<\/p> 从挖掘GPU特有漏洞开始<\/li> 逐步将各种通用漏洞转换为GPU漏洞<\/li> 核心原因：GPU驱动能力强大，可控制GPU硬件页表实现任意物理页读写<\/li> <\/ul> <\/li> 物理页UAF优势<\/strong>：<\/p> 绕过CPU侧安全特性(KNOX、PAC、MTE)<\/li> 可直接Patch内核代码<\/li> 利用手段强大且多样化<\/li> <\/ul> <\/li> 漏洞利用趋势<\/strong>：<\/p> 物理内存UAF成为主流利用方向<\/li> 涌现多种将不同漏洞转换为物理页UAF的技术<\/li> 如Dirty Pagetable、USMA、pipe_buffer->page指针劫持等<\/li> <\/ul> <\/li> 漏洞生命周期<\/strong>：<\/p> 漏洞修复不代表生命结束<\/li> 强大原语可被其他漏洞复用<\/li> 历史漏洞利用经验可被继承和扩展<\/li> <\/ul> <\/li> <\/ol> 参考链接<\/h2> Two bugs with one PoC: Roo2ng Pixel 6 from Android 12 to Android 13<\/li> The inside story of our CVE-2019-2025 exploit<\/li> https:\/\/www.blackhat.com\/docs\/eu-16\/materials\/eu-16-Taft-GPU-Security-Exposed.pdf<\/li> Off-By-One 2024 Day 1 - GPUAF<\/li> Using a general GPU exploit tech to attack Pixel8<\/li> <\/ol>

漏洞<\/th>	类型<\/th>	漏洞原语<\/th> <\/tr> <\/thead>
CVE-2021-39793<\/td>	页权限错误<\/td>	篡改只读映射到用户进程的物理页<\/td> <\/tr>
CVE-2021-28664<\/td>	页权限错误<\/td>	篡改只读映射到用户进程的物理页<\/td> <\/tr>
CVE-2021-28663<\/td>	GPU MMU操作异常<\/td>	物理页UAF<\/td> <\/tr>
CVE-2023-4211<\/td>	条件竞争<\/td>	SLUB对象UAF<\/td> <\/tr>
CVE-2023-48409<\/td>	整数溢出<\/td>	堆溢出<\/td> <\/tr>
CVE-2023-26083<\/td>	内核地址泄露<\/td>	内核地址泄露<\/td> <\/tr>
CVE-2022-46395<\/td>	条件竞争<\/td>	物理页UAF<\/td> <\/tr> <\/tbody> <\/table> 典型漏洞分析<\/h2> CVE-2021-28664分析<\/h3> 漏洞补丁关键点<\/strong>：将`get_user_pages<\/code>参数中的reg->flags & KBASE_REG_CPU_WR<\/code>替换为reg->flags & (KBASE_REG_CPU_WR \| KBASE_REG_GPU_WR)<\/code><\/p>` `标记说明<\/strong>：<\/p>` KBASE_REG_CPU_WR<\/code>：reg能以写权限映射到用户态进程<\/li> KBASE_REG_GPU_WR<\/code>：reg能以写权限映射到GPU<\/li> <\/ul> 内存管理结构<\/strong>：<\/p> kbase_va_region<\/code>：管理物理内存，包括申请\/释放、GPU\/CPU页表映射管理<\/li> cpu_alloc<\/code>和gpu_alloc<\/code>：指向kbase_mem_phy_alloc<\/code>，表示reg拥有的物理页<\/li> flags<\/code>字段：控制驱动映射reg时的权限<\/li> <\/ul> 漏洞利用<\/strong>：<\/p> 创建reg->flags<\/code>为KBASE_REG_CPU_WR<\/code>的kbase_va_region<\/code><\/li> 导入页面时获取进程中任意va对应page到kbase_va_region<\/code><\/li> 以可写权限映射到用户态进程<\/li> 篡改进程中任意只读映射对应的物理页<\/li> <\/ol> 利用方式<\/strong>：<\/p> 修改Page Cache<\/strong>：<\/p> 只读映射libc.so<\/li> 篡改其在Page Cache中的物理页，注入shellcode<\/li> 等高权限进程调用时提权<\/li> <\/ul> <\/li> 修改binder驱动<\/strong>：<\/p> 篡改flat_binder_object->handle<\/code><\/li> 触发binder_transaction_buffer_release<\/code><\/li> 导致node引用计数不平衡<\/li> 转换为binder_node的UAF<\/li> <\/ul> <\/li> <\/ol> CVE-2021-28663分析<\/h3> 漏洞类型<\/strong>：GPU物理页映射管理导致的物理页UAF<\/p> 关键结构<\/strong>：<\/p> kbase_va_region<\/code>：表示物理内存资源<\/li> kbase_mem_phy_alloc<\/code>：管理物理页<\/li> <\/ul> 漏洞相关接口<\/strong>：<\/p> kbase_api_mem_alias<\/code>：创建别名映射<\/li> kbase_api_mem_flags_change<\/code>：释放kbase_mem_phy_alloc<\/code>中的物理页<\/li> <\/ol> 漏洞原理<\/strong>：<\/p> kbase_api_mem_alias<\/code>增加aliased[i]->kref<\/code>确保使用中不被释放<\/li> kbase_mmap<\/code>映射内存时增加aliased[i]->gpu_mappings<\/code><\/li> kbase_api_mem_flags_change<\/code>能在不释放alloc时释放其中的物理页<\/li> 导致物理页UAF<\/li> <\/ol> 利用技术<\/strong>：<\/p> 篡改进程页表：fork + mmap大量分配进程页表占位释放的物理页<\/li> 篡改GPU页表：通过GPU驱动接口分配GPU页表占位<\/li> 篡改内核对象：喷射内核对象(如task_struct、cred)占位<\/li> <\/ol> CVE-2022-46395分析<\/h3> 漏洞类型<\/strong>：条件竞争导致的物理页UAF<\/p> 漏洞代码<\/strong>：<\/p> static<\/span> int<\/span> kbasep_write_soft_event_status<\/span>(struct<\/span> kbase_context <\/span>kctx, u64 evt, unsigned<\/span> char<\/span> new_status) { <\/span><\/span> mapped_evt =<\/span> kbase_vmap_prot(kctx, evt, sizeof<\/span>(<\/span>mapped_evt), KBASE_REG_CPU_WR, &<\/span>map); <\/span><\/span> \/\/ Race window start <\/span><\/span><\/span><\/span> if<\/span> (!<\/span>mapped_evt) return<\/span> -<\/span>EFAULT; <\/span><\/span> <\/span>mapped_evt =<\/span> new_status; <\/span><\/span> \/\/ Race window end <\/span><\/span><\/span><\/span> kbase_vunmap(kctx, &<\/span>map); <\/span><\/span> return<\/span> 0<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>利用方法<\/strong>：<\/p> 在kbase_vmap_prot<\/code>和mapped_evt<\/code>之间触发时钟中断<\/li> 扩大时间窗，在两步之间释放mapped_evt<\/code>对应的物理页<\/li> 实现物理页UAF写(只能写0或1)<\/li> <\/ol> 占位技术<\/strong>：<\/p> 使用vzalloc<\/code>分配内存，根据大小计算分配的物理页数目<\/li> 逐次调用alloc_page<\/code>分配物理页占位<\/li> <\/ul> 整数溢出漏洞(CVE-2023-48409)<\/h3> 漏洞转换<\/strong>：<\/p> 利用摄像头驱动的堆溢出漏洞<\/li> 篡改kbase_mem_phy_alloc<\/code>的gpu_mappings<\/code>为0<\/li> 构造物理页UAF<\/li> <\/ol> MTE绕过<\/strong>：<\/p> 即使启用MTE，仍有50%概率完成溢出不被检测<\/li> MTE检测到溢出也不会导致内核Panic，只是杀掉用户进程<\/li> 允许攻击者无限尝试<\/li> <\/ul> 总结<\/h2> 研究演进<\/strong>：<\/p> 从挖掘GPU特有漏洞开始<\/li> 逐步将各种通用漏洞转换为GPU漏洞<\/li> 核心原因：GPU驱动能力强大，可控制GPU硬件页表实现任意物理页读写<\/li> <\/ul> <\/li> 物理页UAF优势<\/strong>：<\/p> 绕过CPU侧安全特性(KNOX、PAC、MTE)<\/li> 可直接Patch内核代码<\/li> 利用手段强大且多样化<\/li> <\/ul> <\/li> 漏洞利用趋势<\/strong>：<\/p> 物理内存UAF成为主流利用方向<\/li> 涌现多种将不同漏洞转换为物理页UAF的技术<\/li> 如Dirty Pagetable、USMA、pipe_buffer->page指针劫持等<\/li> <\/ul> <\/li> 漏洞生命周期<\/strong>：<\/p> 漏洞修复不代表生命结束<\/li> 强大原语可被其他漏洞复用<\/li> 历史漏洞利用经验可被继承和扩展<\/li> <\/ul> <\/li> <\/ol> 参考链接<\/h2> Two bugs with one PoC: Roo2ng Pixel 6 from Android 12 to Android 13<\/li> The inside story of our CVE-2019-2025 exploit<\/li> https:\/\/www.blackhat.com\/docs\/eu-16\/materials\/eu-16-Taft-GPU-Security-Exposed.pdf<\/li> Off-By-One 2024 Day 1 - GPUAF<\/li> Using a general GPU exploit tech to attack Pixel8<\/li> <\/ol>

GPU 驱动漏洞分析与利用技术详解<\/h1>

GPU驱动攻击面<\/h2> GPU驱动安全研究的特殊攻击面在于其需要维护GPU页表，这个过程复杂且容易出现问题。历史上出现了多个由于GPU页表管理失误导致的安全漏洞。<\/p>

典型漏洞分析<\/h2>

GPU驱动攻击面<\/h2>
GPU驱动安全研究的特殊攻击面在于其需要维护GPU页表，这个过程复杂且容易出现问题。历史上出现了多个由于GPU页表管理失误导致的安全漏洞。<\/p>