Adreno A7xx SDS->RB privilege bypass (GPU SMMU takeover to Kernel R/W)

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Ελέγξτε τα σχέδια συνδρομής!

Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.

Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Αυτή η σελίδα απλοποιεί ένα πραγματικό σφάλμα microcode των Adreno A7xx (CVE-2025-21479) σε αναπαραγώγιμες τεχνικές εκμετάλλευσης: κατάχρηση του IB-level masking στο Set Draw State (SDS) για να εκτελεστούν privileged GPU packets από μια unprivileged εφαρμογή, pivoting σε GPU SMMU takeover και στη συνέχεια σε γρήγορο, σταθερό kernel R/W μέσω ενός dirty-pagetable trick.

Affected: Qualcomm Adreno A7xx GPU firmware prior to a microcode fix that changed masking of register $12 from 0x3 to 0x7.
Primitive: Execute privileged CP packets (e.g., CP_SMMU_TABLE_UPDATE) from SDS, which is user-controlled.
Outcome: Arbitrary physical/virtual kernel memory R/W, SELinux disable, root.
Prereq: Ability to create a KGSL GPU context and submit command buffers that enter SDS (normal app capability).

Ιστορικό: IB levels, SDS and the $12 mask

The kernel maintains a ringbuffer (RB=IB0). Userspace submits IB1 via CP_INDIRECT_BUFFER, chaining to IB2/IB3.
SDS is a special command stream entered via CP_SET_DRAW_STATE:
A6xx: SDS is treated as IB3
A7xx: SDS moved to IB4
Microcode tracks the current IB level in register $12 and gates privileged packets so they are only accepted when the effective level corresponds to IB0 (kernel RB).
Bug: A7xx microcode kept masking $12 with 0x3 (2 bits) instead of 0x7 (3 bits). Since IB4 & 0x3 == 0, SDS was misidentified as IB0, allowing privileged packets from user-controlled SDS.

Γιατί είναι σημαντικό:

A6XX                | A7XX
RB  & 3       == 0  |  RB  & 3       == 0
IB1 & 3       == 1  |  IB1 & 3       == 1
IB2 & 3       == 2  |  IB2 & 3       == 2
IB3 (SDS) & 3 == 3  |  IB3 & 3       == 3
|  IB4 (SDS) & 3 == 0   <-- misread as IB0 if mask is 0x3

Παράδειγμα diff μικροκώδικα (το patch άλλαξε τη μάσκα σε 0x7):

@@ CP_SMMU_TABLE_UPDATE
- and $02, $12, 0x3
+ and $02, $12, 0x7
@@ CP_FIXED_STRIDE_DRAW_TABLE
- and $02, $12, 0x3
+ and $02, $12, 0x7

Επισκόπηση εκμετάλλευσης

Goal: Από SDS (παρανοημένο ως IB0) εκδώστε privileged CP packets για να επανακατευθύνετε το GPU SMMU σε attacker-crafted page tables, στη συνέχεια χρησιμοποιήστε GPU copy/write packets για arbitrary physical R/W. Τέλος, κάνετε pivot σε γρήγορο CPU-side R/W μέσω dirty pagetable.

High-level chain

Craft a fake GPU pagetable in shared memory
Enter SDS and execute:
CP_SMMU_TABLE_UPDATE -> switch to fake pagetable
CP_MEM_WRITE / CP_MEM_TO_MEM -> implement write/read primitives
CP_SET_DRAW_STATE with run-now flags (dispatch immediately)

GPU R/W primitives via fake pagetable

Write: CP_MEM_WRITE to an attacker-chosen GPU VA whose PTEs you map to a chosen PA -> arbitrary physical write
Read: CP_MEM_TO_MEM copies 4/8 bytes from target PA to a userspace-shared buffer (batch for larger reads)

Notes

Κάθε Android process αποκτά ένα KGSL context (IOCTL_KGSL_GPU_CONTEXT_CREATE). Το switching contexts συνήθως ενημερώνει τους SMMU tables στο RB· το bug σας επιτρέπει να το κάνετε σε SDS.
Υπερβολική GPU κίνηση μπορεί να προκαλέσει UI blackouts και reboots· οι αναγνώσεις είναι μικρές (4/8B) και το sync είναι αργό από προεπιλογή.

Building the SDS command sequence

Spray a fake GPU pagetable into shared memory έτσι ώστε τουλάχιστον ένα instance να προσγειωθεί σε μια γνωστή physical address (π.χ. μέσω allocator grooming και επανάληψης).
Κατασκευάστε ένα SDS buffer που περιέχει, με σειρά:

CP_SMMU_TABLE_UPDATE to the physical address of the fake pagetable
One or more CP_MEM_WRITE and/or CP_MEM_TO_MEM packets to implement R/W using your new translations
CP_SET_DRAW_STATE with flags to run-now

Οι ακριβείς packet encodings διαφέρουν ανά firmware· χρησιμοποιήστε τα freedreno’s afuc/packet docs για να συναρμολογήσετε τα words, και βεβαιωθείτε ότι η SDS submission path ακολουθείται από τον driver.

Finding Samsung kernel physbase under physical KASLR

Η Samsung τυχαροποιεί το kernel physical base μέσα σε μια γνωστή περιοχή σε Snapdragon συσκευές. Κάντε brute-force στο αναμενόμενο range και ψάξτε για τα πρώτα 16 bytes του _stext.

Representative loop

while (!ctx->kernel.pbase) {
offset += 0x8000;
uint64_t d1 = kernel_physread_u64(ctx, base + offset);
if (d1 != 0xd10203ffd503233f) continue;   // first 8 bytes of _stext
uint64_t d2 = kernel_physread_u64(ctx, base + offset + 8);
if (d2 == 0x910083fda9027bfd) {           // second 8 bytes of _stext
ctx->kernel.pbase = base + offset - 0x10000;
break;
}
}

Μόλις το physbase είναι γνωστό, υπολόγισε το kernel virtual με τον γραμμικό χάρτη:

_stext = 0xffffffc008000000 + (Kernel Code & ~0xa8000000)

Σταθεροποίηση σε γρήγορη, αξιόπιστη CPU-side kernel R/W (dirty pagetable)

Το GPU R/W είναι αργό και έχει μικρή λεπτότητα. Pivot σε ένα γρήγορο/σταθερό primitive διαφθείροντας τα PTEs της διεργασίας σας (“dirty pagetable”):

Steps

Εντοπίστε το current task_struct -> mm_struct -> mm_struct->pgd χρησιμοποιώντας τα αργά GPU R/W primitives
mmap δύο γειτονικές userspace σελίδες A και B (π.χ., στο 0x1000)
Διασχίστε PGD->PMD->PTE για να επιλύσετε τις φυσικές διευθύνσεις των PTE της A/B (helpers: get_pgd_offset, get_pmd_offset, get_pte_offset)
Υπερκωλύστε το PTE της B ώστε να δείχνει στον last-level pagetable που διαχειρίζεται A/B με RW attributes (phys_to_readwrite_pte)
Γράψτε μέσω της VA της B για να τροποποιήσετε το PTE της A ώστε να αντιστοιχίσει τα στοχευόμενα PFNs· διαβάστε/γράψτε μνήμη kernel μέσω της VA της A, κάνοντας flush την TLB μέχρι ένας sentinel να αλλάξει

Παράδειγμα dirty-pagetable pivot snippet

```c uint64_t *map = mmap((void*)0x1000, PAGE_SIZE*2, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, 0, 0); uint64_t *page_map = (void*)((uint64_t)map + PAGE_SIZE); page_map[0] = 0x4242424242424242;

uint64_t tsk = get_curr_task_struct(ctx); uint64_t mm = kernel_vread_u64(ctx, tsk + OFFSETOF_TASK_STRUCT_MM); uint64_t mm_pgd = kernel_vread_u64(ctx, mm + OFFSETOF_MM_PGD);

uint64_t pgd_off = get_pgd_offset((uint64_t)map); uint64_t phys_pmd = kernel_vread_u64(ctx, mm_pgd + pgd_off) & ~((1<<12)-1); uint64_t pmd_off = get_pmd_offset((uint64_t)map); uint64_t phys_pte = kernel_pread_u64(ctx, phys_pmd + pmd_off) & ~((1<<12)-1); uint64_t pte_off = get_pte_offset((uint64_t)map); uint64_t pte_addr = phys_pte + pte_off; uint64_t new_pte = phys_to_readwrite_pte(pte_addr); kernel_write_u64(ctx, pte_addr + 8, new_pte, false); while (page_map[0] == 0x4242424242424242) flush_tlb();

</details>

## Ανίχνευση και σκληροποίηση

- Firmware/microcode: διόρθωση όλων των σημείων που κάνουν masking του $12 ώστε να χρησιμοποιούν 0x7 (A7xx) και επιθεώρηση των privileged packet gates
- Driver: επικύρωση του effective IB level για privileged packets και επιβολή per-context allowlists
- Telemetry: ειδοποίηση αν το CP_SMMU_TABLE_UPDATE (ή παρόμοιοι privileged opcodes) εμφανιστεί εκτός RB/IB0, ειδικά στο SDS· παρακολούθηση ανώμαλων εκρήξεων (bursts) 4/8-byte CP_MEM_TO_MEM και υπερβολικών προτύπων TLB flush
- Kernel: σκληροποίηση του pagetable metadata και ανίχνευση προτύπων διαφθοράς user PTE

## Επιπτώσεις

Μια τοπική εφαρμογή με πρόσβαση στην GPU μπορεί να εκτελέσει privileged GPU packets, να hijack το GPU SMMU, να επιτύχει arbitrary kernel physical/virtual R/W, να απενεργοποιήσει το SELinux και να αποκτήσει root σε επηρεαζόμενες συσκευές Snapdragon A7xx (π.χ., Samsung S23). Severity: High (kernel compromise).

## Αναφορές

- [CVE-2025-21479: Adreno A7xx SDS->RB privilege bypass to kernel R/W (Samsung S23)](https://xploitbengineer.github.io/CVE-2025-21479)
- [Mesa freedreno afuc disassembler README (microcode + packets)](https://gitlab.freedesktop.org/mesa/mesa/-/blob/c0f56fc64cad946d5c4fda509ef3056994c183d9/src/freedreno/afuc/README.rst)
- [Google Project Zero: Attacking Qualcomm Adreno GPU (SMMU takeover via CP packets)](https://googleprojectzero.blogspot.com/2020/09/attacking-qualcomm-adreno-gpu.html)
- [Dirty pagetable (archive)](https://web.archive.org/web/20240425043203/https://yanglingxi1993.github.io/dirty_pagetable/dirty_pagetable.html)

> [!TIP]
> Μάθετε & εξασκηθείτε στο AWS Hacking:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Μάθετε & εξασκηθείτε στο GCP Hacking: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
> Μάθετε & εξασκηθείτε στο Azure Hacking: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://training.hacktricks.xyz/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>Υποστηρίξτε το HackTricks</summary>
>
> - Ελέγξτε τα [**σχέδια συνδρομής**](https://github.com/sponsors/carlospolop)!
> - **Εγγραφείτε στην** 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομάδα telegram**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
>
> </details>