Badacze bezpieczeństwa Sec Consult odkryli lukę w oprogramowaniu GeForce Experience firmy Nvidia, która pozwala atakującym na ominięcie białej listy aplikacji Windows.
GeForce Experience firmy Nvidia to program, który Nvidia domyślnie instaluje w swoich pakietach sterowników. Program, początkowo zaprojektowany w celu zapewnienia użytkownikom dobrych konfiguracji gier komputerowych, aby działały lepiej w systemach użytkowników, od tego czasu został wysadzony w powietrze przez Nvidię.
Oprogramowanie sprawdza teraz aktualizacje sterowników i może je zainstalować, i wymusza rejestrację, zanim inne funkcje staną się dostępne.
Co ciekawe, nie jest potrzebne do korzystania z karty graficznej, a karta wideo działa bez niej równie dobrze.
Nvidia GeForce Experience instaluje serwer node.js w systemie podczas instalacji. Plik nie nazywa się node.js, ale NVIDIA Web Helper.exe i domyślnie znajduje się w% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia zmieniła nazwę Node.js na NVIDIA Web Helper.exe i podpisała go. Oznacza to, że Node.js jest instalowany na większości systemów z kartami graficznymi Nvidia, biorąc pod uwagę, że sterowniki są instalowane automatycznie i nie używają niestandardowej opcji instalacji.
Wskazówka : instaluj tylko potrzebne komponenty sterownika Nvidia i wyłącz Nvidia Streamer Services oraz inne procesy Nvidia,
Biała lista pozwala administratorom definiować programy i procesy, które mogą działać w systemie operacyjnym. Microsoft AppLocker to popularne rozwiązanie na białej liście w celu poprawy bezpieczeństwa na komputerach z systemem Windows.
Administratorzy mogą dodatkowo poprawić bezpieczeństwo, używając podpisów w celu wymuszenia integralności kodu i skryptu. Ten ostatni jest obsługiwany przez Windows 10 i Windows Server 2016 na przykład z Microsoft Device Guard.
Badacze bezpieczeństwa znaleźli dwie możliwości wykorzystania aplikacji NVIDIA Web Helper.exe firmy Nvidia:
- Użyj Node.js bezpośrednio do interakcji z interfejsami API Windows.
- Załaduj kod wykonywalny „do procesu node.js”, aby uruchomić złośliwy kod.
Ponieważ proces jest podpisany, domyślnie pomija wszelkie kontrole oparte na reputacji.
Z perspektywy atakującego otwiera to dwie możliwości. Użyj node.js do bezpośredniej interakcji z interfejsem API systemu Windows (np. Do wyłączenia białej listy aplikacji lub refleksyjnego załadowania pliku wykonywalnego do procesu node.js w celu uruchomienia złośliwego pliku binarnego w imieniu podpisanego procesu) lub do napisania całego złośliwego oprogramowania za pomocą węzła. js. Obie opcje mają tę zaletę, że uruchomiony proces jest podpisany i dlatego domyślnie omija systemy antywirusowe (algorytmy oparte na reputacji).
Jak rozwiązać problem
Prawdopodobnie najlepszą opcją jest teraz odinstalowanie klienta Nvidia GeForce Experience z systemu operacyjnego.
Pierwszą rzeczą, którą możesz chcieć zrobić, jest upewnić się, że system jest podatny na ataki. Otwórz folder% ProgramFiles (x86)% \ NVIDIA Corporation \ na komputerze z systemem Windows i sprawdź, czy istnieje katalog NvNode.
Jeśli tak, otwórz katalog. Znajdź plik Nvidia Web Helper.exe w katalogu.
Następnie kliknij plik prawym przyciskiem myszy i wybierz właściwości. Po otwarciu okna właściwości przejdź do szczegółów. Tam powinieneś zobaczyć oryginalną nazwę pliku i nazwę produktu.
Po ustaleniu, że serwer Node.js rzeczywiście znajduje się na komputerze, nadszedł czas, aby go usunąć, pod warunkiem że Nvidia GeForce Experience nie jest wymagana.
- Możesz do tego użyć Panelu sterowania> Odinstaluj aplet programu lub jeśli używasz ustawień systemu Windows 10> Aplikacje> Aplikacje i funkcje.
- Tak czy inaczej, Nvidia GeForce Experience jest wymieniona jako osobny program zainstalowany w systemie.
- Odinstaluj program Nvidia GeForce Experience z systemu.
Jeśli później sprawdzisz folder programu, zauważysz, że cały folder NvNode nie znajduje się już w systemie.
Przeczytaj teraz : Zablokuj śledzenie danych telemetrycznych Nvidia na komputerach z systemem Windows