Luka w zabezpieczeniach Nvidia GeForce Experience Node.js.
- Kategoria: Windows
Sec Consult analityków bezpieczeństwa odkryty luka w oprogramowaniu Nvidia GeForce Experience, która umożliwia atakującym ominięcie białej listy aplikacji Windows.
Nvidia's GeForce Experience to program, który Nvidia instaluje domyślnie w swoich pakietach sterowników. Program, początkowo zaprojektowany, aby zapewnić użytkownikom dobrą konfigurację gier komputerowych, aby działały lepiej na systemach użytkowników, został od tego czasu wysadzony w powietrze przez Nvidię.
Oprogramowanie sprawdza teraz dostępność aktualizacji sterowników i może je zainstalować wymusza rejestrację zanim inne funkcje będą dostępne.
Co ciekawe, nie jest ona potrzebna do korzystania z karty graficznej, a karta graficzna działa równie dobrze bez niej.
Nvidia GeForce Experience instaluje serwer node.js w systemie podczas jego instalacji. Plik nie nazywa się node.js, ale NVIDIA Web Helper.exe i domyślnie znajduje się w% ProgramFiles (x86)% NVIDIA Corporation NvNode .
Nvidia zmieniła nazwę Node.js na NVIDIA Web Helper.exe i podpisała go. Oznacza to, że Node.js jest instalowany na większości systemów z kartami graficznymi Nvidia, biorąc pod uwagę, że sterowniki są instalowane automatycznie i nie korzystają z opcji instalacji niestandardowej.
Wskazówka : Zainstaluj tylko te komponenty sterownika Nvidia, które potrzebujesz , i wyłącz usługi Nvidia Streamer Services i inne procesy Nvidia ,
Biała lista umożliwia administratorom definiowanie programów i procesów, które mogą działać w systemie operacyjnym. Microsoft AppLocker to popularne rozwiązanie do białej listy, które poprawia bezpieczeństwo na komputerach z systemem Windows.
Administratorzy mogą dodatkowo zwiększyć bezpieczeństwo, używając podpisów do wymuszania integralności kodu i skryptów. Ten ostatni jest obsługiwany przez Windows 10 i Windows Server 2016 z Microsoft Device Guard na przykład.
Badacze bezpieczeństwa znaleźli dwie możliwości wykorzystania aplikacji NVIDIA Web Helper.exe firmy Nvidia:
- Użyj Node.js bezpośrednio do interakcji z interfejsami API systemu Windows.
- Załaduj kod wykonywalny „do procesu node.js”, aby uruchomić złośliwy kod.
Ponieważ proces jest podpisany, domyślnie pomija wszelkie kontrole oparte na reputacji.
Z perspektywy atakującego otwiera to dwie możliwości. Użyj node.js do bezpośredniej interakcji z Windows API (np. Aby wyłączyć białą listę aplikacji lub odblaskowo załaduj plik wykonywalny do procesu node.js w celu uruchomienia złośliwego pliku binarnego w imieniu podpisanego procesu) lub do napisania całego złośliwego oprogramowania w node. js. Obie opcje mają tę zaletę, że uruchomiony proces jest podpisany i dlatego domyślnie omija systemy antywirusowe (algorytmy oparte na reputacji).
Jak rozwiązać problem
Prawdopodobnie najlepszą opcją w tej chwili jest odinstalowanie klienta Nvidia GeForce Experience z systemu operacyjnego.
Pierwszą rzeczą, którą możesz chcieć zrobić, jest upewnienie się, że system jest podatny na ataki. Otwórz folder% ProgramFiles (x86)% NVIDIA Corporation na komputerze z systemem Windows i sprawdź, czy istnieje katalog NvNode.
Jeśli tak, otwórz katalog. Znajdź plik Nvidia Web Helper.exe w katalogu.
Następnie kliknij plik prawym przyciskiem myszy i wybierz właściwości. Po otwarciu okna właściwości przejdź do szczegółów. Powinieneś tam zobaczyć oryginalną nazwę pliku i nazwę produktu.
Po ustaleniu, że serwer Node.js rzeczywiście znajduje się na komputerze, czas go usunąć, pod warunkiem, że Nvidia GeForce Experience nie jest wymagane.
- W tym celu możesz użyć Panelu sterowania> Odinstaluj aplet programu lub jeśli używasz Ustawienia systemu Windows 10> Aplikacje> Aplikacje i funkcje.
- Tak czy inaczej, Nvidia GeForce Experience jest wymieniony jako oddzielny program zainstalowany w systemie.
- Odinstaluj program Nvidia GeForce Experience ze swojego systemu.
Jeśli później ponownie sprawdzisz folder programu, zauważysz, że całego folderu NvNode nie ma już w systemie.
Teraz przeczytaj : Blokuj śledzenie telemetrii Nvidia na komputerach z systemem Windows