Chyba zabezpečení Nvidia GeForce Experience Node.js

Vědci zabývající se bezpečností aplikace Sec Consult zjistili zranitelnost softwaru Nvidia GeForce Experience, která útočníkům umožňuje obejít whitelisting aplikací Windows.

Nvidia GeForce Experience je program, který Nvidia standardně instaluje do svých ovladačů. Program, který byl původně navržen tak, aby uživatelům poskytoval dobré konfigurace pro počítačové hry, aby mohli běžet lépe v uživatelských systémech, byl od té doby společností Nvidia vyhozen.

Software nyní kontroluje aktualizace ovladačů a může je nainstalovat a vynucuje registraci dříve, než bude k dispozici jeho další funkce.

Zajímavé je, že není nutné používat grafickou kartu a že grafická karta bez ní funguje stejně dobře.

Nvidia GeForce Experience nainstaluje server node.js do systému, když je nainstalován. Soubor se nazývá node.js, nýbrž NVIDIA Web Helper.exe a ve výchozím nastavení je umístěn pod% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.

Nvidia přejmenoval Node.js na NVIDIA Web Helper.exe a podepsal jej. To znamená, že soubor Node.js je nainstalován na většině systémů s grafickými kartami Nvidia, protože ovladače jsou nainstalovány automaticky a nepoužívají možnost vlastní instalace.

Tip : Instalujte pouze ovladače Nvidia, které potřebujete, a vypněte služby Nvidia Streamer Services a další procesy Nvidia,

Whitelisting umožňuje správcům definovat programy a procesy, které mohou běžet na operačním systému. Microsoft AppLocker je populární whitelisting řešení pro zlepšení zabezpečení na PC Windows.

Správci mohou dále zlepšit zabezpečení pomocí podpisů k vynucení integrity kódu a skriptu. Ten je podporován například Windows 10 a Windows Server 2016 například s Microsoft Device Guard.

Výzkumníci v oblasti bezpečnosti našli dvě možnosti, jak využít aplikaci NVIDIA Web Helper.exe společnosti Nvidia:

  1. Pomocí rozhraní Node.js můžete přímo komunikovat s rozhraními Windows API.
  2. Chcete-li spustit škodlivý kód, nahrajte spustitelný kód „do procesu node.js“.

Protože je proces podepsán, ve výchozím nastavení obchází všechny kontroly založené na reputaci.

Z pohledu útočníka to otevírá dvě možnosti. Buď použijte node.js pro přímou interakci s Windows API (např. Pro deaktivaci whitelistingu aplikací nebo reflexní načtení spustitelného souboru do procesu node.js pro spuštění škodlivého binárního kódu jménem podepsaného procesu) nebo pro zápis celého malware se uzlem. js. Obě možnosti mají tu výhodu, že běžící proces je podepsán, a proto ve výchozím nastavení obchází antivirové systémy (algoritmy založené na reputaci).

Jak problém vyřešit

Pravděpodobně nejlepší možností právě nyní je odinstalovat klienta Nvidia GeForce Experience z operačního systému.

První věc, kterou možná budete chtít udělat, je zajistit, aby byl systém zranitelný. Otevřete složku% ProgramFiles (x86)% \ NVIDIA Corporation \ na počítači se systémem Windows a zkontrolujte, zda existuje adresář NvNode.

Pokud ano, otevřete adresář. Vyhledejte soubor Nvidia Web Helper.exe v adresáři.

Poté klikněte pravým tlačítkem na soubor a vyberte vlastnosti. Po otevření okna vlastností přepněte na podrobnosti. Tam byste měli vidět původní název souboru a název produktu.

Jakmile zjistíte, že server Node.js je skutečně na počítači, je čas jej odstranit za předpokladu, že není nutná aplikace Nvidia GeForce Experience.

  1. K tomu můžete použít Ovládací panely> Odinstalovat applet programu nebo pokud používáte nastavení systému Windows 10> Aplikace> Aplikace a funkce.
  2. V obou případech je Nvidia GeForce Experience uvedena jako samostatný program nainstalovaný v systému.
  3. Odinstalujte program Nvidia GeForce Experience ze svého systému.

Pokud znovu zkontrolujete složku programu, všimnete si, že celá složka NvNode již v systému není.

Nyní číst : Blokovat sledování telemetrie Nvidia na počítačích se systémem Windows