Nvidia GeForce Oplev Node.js sikkerhedssårbarhed

Sec Consult sikkerhedsforskere opdagede en sårbarhed i Nvidias GeForce Experience-software, der giver angribere mulighed for at omgå hvidliste til Windows-applikationer.

Nvidias GeForce Experience er et program, som Nvidia installerer som standard i sine driverpakker. Programmet, oprindeligt designet til at give brugerne gode konfigurationer til computerspil, så de kører bedre på brugersystemer, er siden da blevet sprængt af Nvidia.

Softwaren kontrollerer for driveropdateringer nu og installerer muligvis disse, og det håndhæver registrering, før dens anden funktionalitet bliver tilgængelig.

Det, der er interessant ved det, er, at det ikke er nødvendigt for at gøre brug af grafikkortet, og at videokortet fungerer lige så fint uden det.

Nvidia GeForce Experience installerer en node.js-server på systemet, når den er installeret. Filen kaldes ikke node.js, men NVIDIA Web Helper.exe, og den er som standard placeret under% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.

Nvidia omdøbte Node.js til NVIDIA Web Helper.exe og underskrev det. Hvad dette betyder er, at Node.js er installeret på de fleste systemer med Nvidia-grafikkort, i betragtning af at drivere installeres automatisk og ikke bruger den brugerdefinerede installation.

Tip : Installer kun de Nvidia-driverkomponenter, du har brug for, og deaktiver Nvidia Streamer Services og andre Nvidia-processer,

Whitelisting giver administratorer mulighed for at definere programmer og processer, der kan køre på et operativsystem. Microsoft AppLocker er en populær hvidlisteløsning for at forbedre sikkerheden på Windows-pc'er.

Administratorer kan forbedre sikkerheden yderligere ved at bruge underskrifter til at håndhæve kode- og scriptintegritet. Sidstnævnte understøttes f.eks. Af Windows 10 og Windows Server 2016 med Microsoft Device Guard.

Sikkerhedsforskerne fandt to muligheder for at udnytte Nvidias NVIDIA Web Helper.exe-applikation:

  1. Brug Node.js direkte til at interagere med Windows API'er.
  2. Indlæs eksekverbar kode "i node.js-processen" for at køre ondsindet kode.

Da processen er underskrevet, vil den som standard omgå enhver omdømmebaseret kontrol.

Fra angrebsperspektiv åbner dette to muligheder. Brug enten node.js til direkte interaktion med Windows API (f.eks. Til at deaktivere applikations whitelisting eller reflekterende indlæse en eksekverbar i node.js-processen for at køre den ondsindede binære på vegne af den underskrevne proces) eller til at skrive den komplette malware med noden. js. Begge muligheder har den fordel, at køringsprocessen er underskrevet og derfor omgår anti-virussystemer (omdømmebaserede algoritmer) pr. Standard.

Sådan løses problemet

Den bedste mulighed lige nu er at afinstallere Nvidia GeForce Experience-klienten fra operativsystemet.

Den første ting, du måske ønsker at gøre, er at sikre dig, at et system er sårbart. Åbn mappen% ProgramFiles (x86)% \ NVIDIA Corporation \ på Windows PC og kontroller, om biblioteket NvNode findes.

Hvis det sker, skal du åbne biblioteket. Find filen Nvidia Web Helper.exe i biblioteket.

Højreklik på filen bagefter, og vælg egenskaber. Når egenskabsvinduet åbnes, skal du skifte til detaljer. Der skal du se det originale filnavn og produktnavn.

Når du har konstateret, at en Node.js-server faktisk findes på maskinen, er det tid til at fjerne den, forudsat at Nvidia GeForce Experience ikke er påkrævet.

  1. Du kan bruge Kontrolpanel> Afinstaller en programapplet til det, eller hvis du bruger Windows 10-indstillinger> Apps> Apps & funktioner.
  2. Uanset hvad er Nvidia GeForce Experience listet som et separat program installeret på systemet.
  3. Afinstaller Nvidia GeForce Experience-programmet fra dit system.

Hvis du tjekker programmappen bagefter igen, vil du bemærke, at hele NvNode-mappen ikke længere findes på systemet.

Læs nu : Blokér Nvidia Telemetry Tracking på Windows-pc'er