Sec Consultin tietoturvatutkijat havaitsivat Nvidian GeForce Experience -ohjelmistossa haavoittuvuuden, jonka avulla hyökkääjät voivat ohittaa Windows-sovellusten sallittujen luetteloiden luettelon.
Nvidian GeForce Experience on ohjelma, jonka Nvidia asentaa oletuksena ohjainpaketeihinsa. Nvidia on räjäyttänyt ohjelman, joka on alun perin suunniteltu tarjoamaan käyttäjille hyvät konfiguraatiot tietokonepeleille, jotta ne toimisivat paremmin käyttäjäjärjestelmissä.
Ohjelmisto tarkistaa ajuripäivitykset nyt, ja voi asentaa ne, ja se pakottaa rekisteröinnin, ennen kuin sen muut toiminnot tulevat saataville.
Mielenkiintoista on se, että sitä ei tarvita näytönohjaimen käyttämiseen ja että videokortti toimii yhtä hyvin ilman sitä.
Nvidia GeForce Experience asentaa node.js-palvelimen järjestelmään, kun se on asennettu. Tiedostoa ei kutsuta node.js, mutta NVIDIA Web Helper.exe, ja se sijaitsee oletusarvon mukaan% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia nimitti Node.js: n NVIDIA Web Helper.exe -sovellukseksi ja allekirjoitti sen. Tämä tarkoittaa, että Node.js on asennettu useimpiin järjestelmiin, joissa on Nvidia-näytönohjain, ottaen huomioon, että ohjaimet asennetaan automaattisesti eikä käytetä mukautettua asennusvaihtoehtoa.
Vinkki : Asenna vain tarvitsemasi Nvidia-ohjainkomponentit ja poista Nvidia Streamer Services ja muut Nvidia-prosessit käytöstä,
Valkoisen luettelon avulla järjestelmänvalvojat voivat määritellä ohjelmat ja prosessit, jotka voivat ajaa käyttöjärjestelmää. Microsoft AppLocker on suosittu sallittujen tuotteiden listointiratkaisu Windows-tietokoneiden tietoturvan parantamiseksi.
Järjestelmänvalvojat voivat parantaa tietoturvaa entisestään käyttämällä allekirjoituksia koodin ja komentosarjojen eheyden varmistamiseksi. Jälkimmäistä tukevat esimerkiksi Windows 10 ja Windows Server 2016, esimerkiksi Microsoft Device Guard.
Turvallisuustutkijat löysivät kaksi mahdollisuutta hyödyntää Nvidian NVIDIA Web Helper.exe -sovellusta:
- Käytä Node.js: tä suoraan vuorovaikutuksessa Windows-sovellusliittymien kanssa.
- Lataa suoritettava koodi "node.js-prosessiin" vahingollisen koodin suorittamiseksi.
Koska prosessi on allekirjoitettu, se ohittaa oletuksena kaikki maineeseen perustuvat tarkastukset.
Hyökkääjän kannalta tämä avaa kaksi mahdollisuutta. Käytä node.js joko suoraan vuorovaikutukseen Windows API: n kanssa (esimerkiksi poistamalla sovellusten sallittujen luetteloiden luominen käytöstä tai lataamalla toteutettavissa oleva tiedosto reflektiivisesti node.js-prosessiin vahingollisen binaarin suorittamiseksi allekirjoitetun prosessin puolesta) tai kirjoita täydellinen haittaohjelma solmun kanssa. js. Molemmilla vaihtoehdoilla on etuna se, että käynnissä oleva prosessi on allekirjoitettu ja ohittaa siten virustorjuntajärjestelmät (mainepohjaiset algoritmit) oletuskohtaisesti.
Kuinka ratkaista ongelma
Todennäköisesti paras vaihtoehto on tällä hetkellä poistaa Nvidia GeForce Experience -asiakasohjelma käyttöjärjestelmästä.
Ensin kannattaa varmistaa, että järjestelmä on haavoittuvainen. Avaa kansio% ProgramFiles (x86)% \ NVIDIA Corporation \ Windows PC: llä ja tarkista, onko hakemisto NvNode.
Jos se on, avaa hakemisto. Etsi hakemistosta Nvidia Web Helper.exe-tiedosto.
Napsauta tiedostoa hiiren kakkospainikkeella sen jälkeen ja valitse ominaisuudet. Kun ominaisuusikkuna avautuu, siirry yksityiskohtiin. Siellä sinun pitäisi nähdä alkuperäinen tiedostonimi ja tuotteen nimi.
Kun olet todennut, että Node.js-palvelin on todellakin koneella, on aika poistaa se, jos Nvidia GeForce Experience -sovellusta ei vaadita.
- Voit käyttää Ohjauspaneeli> Poista Ohjelma-sovelmaa tätä varten tai jos käytät Windows 10 -asetuksia> Sovellukset> Sovellukset ja ominaisuudet.
- Kummassakin tapauksessa Nvidia GeForce Experience luetellaan erillisenä järjestelmään asennettuna ohjelmana.
- Poista Nvidia GeForce Experience -ohjelma järjestelmästäsi.
Jos tarkistat ohjelmakansion jälkikäteen, huomaat, että koko NvNode-kansio ei ole enää järjestelmässä.
Nyt luettu : Estä Nvidia-telemetriaseuranta Windows-tietokoneissa
