A Sec Consult biztonsági kutatói sebezhetőséget fedeztek fel az Nvidia GeForce Experience szoftverében, amely lehetővé teszi a támadók számára, hogy megkerüljék a Windows alkalmazás engedélyezési listáját.
Az Nvidia GeForce Experience programja, amelyet az Nvidia alapértelmezés szerint telepít az illesztőprogram-csomagjaiba. Az Nvidia azóta felrobbantotta azt a programot, amelyet eredetileg arra terveztek, hogy a felhasználók számára megfelelő konfigurációt biztosítson a számítógépes játékok számára, hogy jobban működjenek a felhasználói rendszereken.
A szoftver most megkeresi az illesztőprogram-frissítéseket, és telepítheti azokat, és kényszeríti a regisztrációt, mielőtt más funkciói elérhetővé válnak.
Érdekes az, hogy nincs rá szükség a grafikus kártya használatához, és hogy a videokártya ugyanolyan jól működik nélküle.
Az Nvidia GeForce Experience telepíti a node.js szervert a rendszerre, amikor telepíti. A fájl nem node.js, hanem NVIDIA Web Helper.exe, és alapértelmezés szerint a% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ alatt található.
Az Nvidia átnevezte a Node.js fájlt az NVIDIA Web Helper.exe fájlra, és aláírta. Ez azt jelenti, hogy a Node.js az Nvidia grafikus kártyával ellátott rendszerek többségében telepítve van, figyelembe véve, hogy az illesztőprogramok automatikusan települnek, és nem az egyedi telepítési lehetőséget használják.
Tipp : Csak a szükséges Nvidia illesztőprogram-összetevőket telepítse, és tiltsa le az Nvidia Streamer Services és más Nvidia folyamatokat,
A ballistán a rendszergazdák meghatározhatják az operációs rendszeren futó programokat és folyamatokat. A Microsoft AppLocker egy népszerű engedélyezési lista, amely javítja a Windows PC-k biztonságát.
A rendszergazdák tovább javíthatják a biztonságot, ha aláírásokat használnak a kód és a szkript integritásának érvényesítésére. Ez utóbbi a Windows 10 és a Windows Server 2016, például a Microsoft Device Guard támogatja.
A biztonsági kutatók két lehetőséget találtak az Nvidia NVIDIA Web Helper.exe alkalmazásának kihasználására:
- A Node.js használatával közvetlenül léphet kapcsolatba a Windows API-kkal.
- Töltse a "végrehajtható kódot" a node.js folyamatba "a rosszindulatú kód futtatásához.
Mivel a folyamat aláírásra került, alapértelmezés szerint megkerüli a hírnév-alapú ellenőrzéseket.
A támadó szempontjából ez két lehetőséget nyit meg. Vagy a node.js felhasználásával közvetlenül léphet kapcsolatba a Windows API-val (például az alkalmazás engedélyezése az engedélyezéssel történő engedélyezése vagy a végrehajtható fájl reflektív betöltése a node.js folyamatba, hogy a rosszindulatú bináris fájlt az aláírt folyamat nevében futtassa), vagy pedig a teljes malware megírása a csomóponttal. js. Mindkét lehetőség előnye, hogy a futási folyamat aláírásra kerül, és ezért alapértelmezés szerint megkerüli az antivírus rendszereket (hírnév-alapú algoritmusok).
A probléma megoldása
Most valószínűleg a legjobb megoldás az Nvidia GeForce Experience kliens eltávolítása az operációs rendszerről.
Először érdemes megbizonyosodni arról, hogy egy rendszer sebezhető-e. Nyissa meg a% ProgramFiles (x86)% \ NVIDIA Corporation \ mappát a Windows PC-n, és ellenőrizze, létezik-e az NvNode könyvtár.
Ha igen, nyissa meg a könyvtárat. Keresse meg a Nvidia Web Helper.exe fájlt a könyvtárban.
Ezután kattintson a jobb gombbal a fájlra, és válassza a tulajdonságokat. Amikor megjelenik a tulajdonságok ablak, váltson át a részletekre. Itt látnia kell az eredeti fájlnevet és a termék nevét.
Miután megállapította, hogy egy Node.js szerver valóban a gépen van, ideje eltávolítani azt, feltéve, hogy az Nvidia GeForce Experience nem szükséges.
- Ehhez használhatja a Vezérlőpult> Egy program eltávolítását, vagy ha a Windows 10 Beállítások> Alkalmazások> Alkalmazások és szolgáltatások használatát használja.
- Mindkét esetben az Nvidia GeForce Experience a rendszerre telepített különálló programként kerül felsorolásra.
- Távolítsa el az Nvidia GeForce Experience programot a rendszeréből.
Ha utána ismét ellenőrzi a programmappát, észreveszi, hogy a teljes NvNode mappa már nincs a rendszerben.
Most olvassa : Blokkolja az Nvidia telemetrikus nyomkövetését a Windows PC-ken
