Cercetătorii de securitate din Sec Consult au descoperit o vulnerabilitate în software-ul GeForce Experience de la Nvidia, care permite atacatorilor să ocolească lista albă a aplicațiilor Windows.
Nvidia's GeForce Experience este un program pe care Nvidia îl instalează în mod implicit în pachetele de drivere. Programul, inițial conceput pentru a oferi utilizatorilor configurații bune pentru jocurile pe calculator, astfel încât să funcționeze mai bine pe sistemele de utilizatori, a fost lansat de atunci de către Nvidia.
Software-ul verifică actualizările driverelor acum și le pot instala și pot aplica înregistrarea înainte ca disponibilitatea altei sale funcționalități.
Ceea ce este interesant este faptul că nu este necesar pentru a utiliza cardul grafic și că placa video funcționează la fel de bine fără ea.
Nvidia GeForce Experience instalează un server node.js pe sistem atunci când este instalat. Fișierul nu se numește node.js, ci NVIDIA Web Helper.exe și este localizat sub% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ în mod implicit.
Nvidia a redenumit Node.js în NVIDIA Web Helper.exe și a semnat-o. Ce înseamnă asta este că Node.js este instalat pe majoritatea sistemelor cu plăci grafice Nvidia, având în vedere că driverele sunt instalate automat și nu utilizează opțiunea de instalare personalizată.
Sfat : instalați numai componentele driverului Nvidia de care aveți nevoie și dezactivați serviciile Nvidia Streamer și alte procese Nvidia,
Lista albă permite administratorilor să definească programe și procese care pot fi rulate pe un sistem de operare. Microsoft AppLocker este o soluție populară de listare completă pentru îmbunătățirea securității pe calculatoarele Windows.
Administratorii pot îmbunătăți securitatea în continuare prin utilizarea semnăturilor pentru a impune integritatea codului și a scriptului. Acesta din urmă este acceptat de Windows 10 și Windows Server 2016 cu Microsoft Device Guard, de exemplu.
Cercetătorii de securitate au găsit două posibilități de a exploata aplicația NVIDIA Web Helper.exe Nvidia:
- Utilizați Node.js direct pentru a interacționa cu API-urile Windows.
- Încărcați codul executabil "în procesul node.js" pentru a rula codul rău intenționat.
Având în vedere că procesul este semnat, acesta va evita toate controalele bazate pe reputație în mod implicit.
Din perspectiva atacatorului, aceasta deschide două posibilități. Fie folosiți node.js pentru a interacționa direct cu API-ul Windows (de exemplu, pentru a dezactiva lista albă a aplicației sau pentru a încărca reflectabil un executabil în procesul node.js pentru a rula binarul rău intenționat în numele procesului semnat) sau pentru a scrie malware complet cu nodul. js. Ambele opțiuni au avantajul că procesul de rulare este semnat și, prin urmare, ocolește sistemele antivirus (algoritmi bazate pe reputație) în mod implicit.
Cum să rezolvi problema
Probabil cea mai bună opțiune în acest moment este să dezinstalați clientul Nvidia GeForce Experience din sistemul de operare.
Primul lucru pe care poate doriți să îl faceți este să vă asigurați că un sistem este vulnerabil. Deschideți folderul% ProgramFiles (x86)% \ NVIDIA Corporation \ pe PC-ul Windows și verificați dacă există directorul NvNode.
În acest caz, deschideți directorul. Găsiți fișierul Nvidia Web Helper.exe în director.
Faceți clic dreapta pe fișier după aceea și selectați proprietăți. Când se deschide fereastra de proprietăți, treceți la detalii. Acolo ar trebui să vedeți numele fișierului original și numele produsului.
După ce ați stabilit că un server Node.js este într-adevăr pe aparat, este timpul să îl eliminați cu condiția ca Nvidia GeForce Experience să nu fie necesară.
- Puteți utiliza Panoul de control> Dezinstalați o aplicație de program pentru asta sau dacă utilizați Windows 10 Setări> Aplicații> Aplicații și funcții.
- Oricum, Nvidia GeForce Experience este listată ca un program separat instalat pe sistem.
- Dezinstalați programul Nvidia GeForce Experience din sistemul dvs.
Dacă verificați din nou dosarul programului, veți observa că întregul dosar NvNode nu mai este în sistem.
Citiți acum : Blocați Nvidia Telemetry Tracking pe PC-urile Windows
