Varnostni raziskovalci Sec Consult so odkrili ranljivost v Nvidijini programski opremi GeForce Experience, ki napadalcem omogoča, da zaobidejo beli seznam Windows.
Nvidia GeForce Experience je program, ki ga Nvidia privzeto namesti v svoje gonilne pakete. Program, ki je bil prvotno zasnovan tako, da uporabnikom nudi dobre konfiguracije računalniških iger, da bodo te bolje delovale v uporabniških sistemih, je od takrat razstrelila Nvidia.
Programska oprema preverja, ali so zdaj posodobitve gonilnikov, in jih lahko namesti, ter izvrši registracijo, preden postane na voljo druga njena funkcionalnost.
Pri tem je zanimivo, da ta ni potrebna za uporabo grafične kartice in da video kartica brez nje deluje enako dobro.
Nvidia GeForce Experience namesti v sistem strežnik node.js, ko je nameščen. Datoteka se ne imenuje node.js, ampak NVIDIA Web Helper.exe, in je privzeto nameščena pod% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia je Node.js preimenovala v NVIDIA Web Helper.exe in jo podpisala. To pomeni, da je Node.js nameščen v večini sistemov z grafičnimi karticami Nvidia, saj so gonilniki nameščeni samodejno in ne uporabljajo možnosti namestitve po meri.
Nasvet : Namestite samo potrebne gonilne komponente Nvidia in onemogočite storitve Nvidia Streamer Services in druge procese Nvidia,
Beli seznam omogoča administratorjem, da določijo programe in procese, ki se lahko izvajajo v operacijskem sistemu. Microsoft AppLocker je priljubljena rešitev s seznama za izboljšanje varnosti na osebnih računalnikih Windows.
Skrbniki lahko še izboljšajo varnost z uporabo podpisov za uveljavljanje integritete kode in skripta. Slednjega podpirata Windows 10 in Windows Server 2016 z Microsoft Device Guard, na primer.
Varnostni raziskovalci so našli dve možnosti za uporabo Nvidijine aplikacije NVIDIA Web Helper.exe:
- Uporabite Node.js neposredno za interakcijo z Windows API-ji.
- Naložite izvršljivo kodo "v postopek node.js", če želite zagnati zlonamerno kodo.
Ker je postopek podpisan, bo privzeto zaobšel vsa preverjanja na podlagi ugleda.
Z vidika napadalca to odpira dve možnosti. Uporabite node.js za neposredno interakcijo z Windows API-om (npr. Za onemogočanje seznama programov ali beleženje nalaganje izvršljivega v node.js postopek za zagon zlonamerne binarne datoteke v imenu podpisanega postopka) ali za pisanje celotne zlonamerne programske opreme z vozliščem. js. Prednost obeh možnosti je, da se tekaški postopek podpiše in zato ob privzeto zaobide protivirusne sisteme (algoritme, ki temeljijo na ugledu).
Kako rešiti težavo
Verjetno najboljša možnost je odstranitev odjemalca Nvidia GeForce Experience iz operacijskega sistema.
Prva stvar, ki jo boste morda želeli, je, da se prepričate, da je sistem ranljiv. V računalniku Windows odprite mapo% ProgramFiles (x86)% \ NVIDIA Corporation \ in preverite, ali imenik NvNode obstaja.
V tem primeru odprite imenik. V imeniku poiščite datoteko Nvidia Web Helper.exe.
Nato z desno miškino tipko kliknite datoteko in izberite lastnosti. Ko se odpre okno lastnosti, preklopite na podrobnosti. Tam bi morali videti izvirno ime datoteke in ime izdelka.
Ko ugotovite, da je strežnik Node.js resnično v računalniku, je čas, da ga odstranite, pod pogojem, da Nvidia GeForce Experience ni potrebna.
- Za to lahko uporabite nadzorno ploščo> Odstranite programski programček ali pa uporabite nastavitve sistema Windows 10> Aplikacije> Aplikacije in funkcije.
- Kakor koli že, Nvidia GeForce Experience je navedena kot ločen program, nameščen v sistemu.
- Odstranite program Nvidia GeForce Experience iz sistema.
Če pozneje znova preverite programsko mapo, boste opazili, da celotna mapa NvNode ni več v sistemu.
Zdaj preberite : Blokirajte Nvidia Telemetry sledenje na računalnikih Windows
