Sec Consult sikkerhetsforskere oppdaget en sårbarhet i Nvidias GeForce Experience-programvare som lar angripere omgå hvitlisting av Windows-applikasjoner.
Nvidias GeForce Experience er et program som Nvidia installerer som standard i driverpakkene. Programmet, opprinnelig designet for å gi brukerne gode konfigurasjoner for dataspill slik at de kjører bedre på brukersystemer, er blitt blåst opp siden den gang av Nvidia.
Programvaren ser etter driveroppdateringer nå, og kan installere disse, og den tvinger inn registrering før den andre funksjonaliteten blir tilgjengelig.
Det som er interessant med det er at det ikke er nødvendig for å bruke grafikkortet, og at skjermkortet fungerer like bra uten det.
Nvidia GeForce Experience installerer en node.js-server på systemet når den er installert. Filen heter ikke node.js, men NVIDIA Web Helper.exe, og den ligger som standard under% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia omdøpte Node.js til NVIDIA Web Helper.exe og signerte den. Hva dette betyr er at Node.js er installert på de fleste systemer med Nvidia-grafikkort, med tanke på at drivere blir installert automatisk og ikke bruker det tilpassede installasjonsalternativet.
Tips : Installer bare Nvidia-driverkomponentene du trenger, og deaktiver Nvidia Streamer Services og andre Nvidia-prosesser,
Hvitelisting lar administratorer definere programmer og prosesser som kan kjøres på et operativsystem. Microsoft AppLocker er en populær hvitelisteløsning for å forbedre sikkerheten på Windows-PCer.
Administratorer kan forbedre sikkerheten ytterligere ved å bruke signaturer for å håndheve kode- og skriptintegritet. Det siste støttes av Windows 10 og windows Server 2016 med Microsoft Device Guard for eksempel.
Sikkerhetsforskerne fant to muligheter for å utnytte Nvidias NVIDIA Web Helper.exe-applikasjon:
- Bruk Node.js direkte til å samhandle med Windows APIer.
- Last kjørbar kode "inn i node.js-prosessen" for å kjøre ondsinnet kode.
Siden prosessen er signert, vil den omgå alle omdømmebaserte sjekker som standard.
Fra angriperperspektiv åpner dette to muligheter. Enten bruker node.js for å samhandle direkte med Windows API (f.eks. For å deaktivere programviteliste eller reflektere inn en kjørbar i node.js-prosessen for å kjøre den ondsinnede binæren på vegne av den signerte prosessen) eller for å skrive den komplette malware med noden. js. Begge alternativene har fordelen at løpsprosessen er signert og derfor omgår antivirussystemer (omdømmebaserte algoritmer) per standard.
Slik løser du problemet
Det beste alternativet akkurat nå er å avinstallere Nvidia GeForce Experience-klienten fra operativsystemet.
Det første du kanskje vil gjøre er å sørge for at et system er sårbart. Åpne mappen% ProgramFiles (x86)% \ NVIDIA Corporation \ på Windows PC og sjekk om katalogen NvNode eksisterer.
Hvis det gjør det, åpner du katalogen. Finn filen Nvidia Web Helper.exe i katalogen.
Høyreklikk på filen etterpå, og velg egenskaper. Når egenskapsvinduet åpnes, bytter du til detaljer. Der skal du se det opprinnelige filnavnet og produktnavnet.
Når du har konstatert at en Node.js-server faktisk er på maskinen, er det på tide å fjerne den forutsatt at Nvidia GeForce Experience ikke er nødvendig.
- Du kan bruke Kontrollpanel> Avinstaller en program-applet for det, eller hvis du bruker Windows 10-innstillinger> Apps> Apps og funksjoner.
- Uansett er Nvidia GeForce Experience listet som et eget program installert på systemet.
- Avinstaller Nvidia GeForce Experience-programmet fra systemet ditt.
Hvis du sjekker programmappen etterpå igjen, vil du merke at hele NvNode-mappen ikke lenger er på systemet.
Les nå : Blokker Nvidia Telemetry Tracking på Windows-PCer
