Výskumníci bezpečnosti spoločnosti Sec Consult zistili zraniteľnosť softvéru Nvidia GeForce Experience, ktorá útočníkom umožňuje obísť bielu listinu aplikácií Windows.
Nvidia GeForce Experience je program, ktorý spoločnosť Nvidia štandardne inštaluje do svojich balíkov ovládačov. Program, ktorý bol pôvodne navrhnutý tak, aby používateľom poskytoval dobré konfigurácie pre počítačové hry, aby mohli lepšie fungovať v používateľských systémoch, bol odvtedy spoločnosťou Nvidia vyhodený do povetria.
Softvér teraz kontroluje aktualizácie ovládačov a môže ich nainštalovať a vynúti registráciu skôr, ako bude k dispozícii jej ďalšia funkcia.
Zaujímavé je, že na používanie grafickej karty nie je potrebné a že grafická karta bez nej funguje rovnako dobre.
Nvidia GeForce Experience nainštaluje server node.js do systému, keď je nainštalovaný. Súbor sa nenazýva node.js, ale NVIDIA Web Helper.exe a predvolene sa nachádza pod% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia premenovala Node.js na NVIDIA Web Helper.exe a podpísala ju. To znamená, že program Node.js je nainštalovaný na väčšine systémov s grafickými kartami Nvidia, pretože ovládače sa inštalujú automaticky a nepoužívajú možnosť vlastnej inštalácie.
Tip : Nainštalujte iba potrebné ovládače Nvidia a vypnite služby Nvidia Streamer Services a ďalšie procesy Nvidia,
Whitelisting umožňuje správcom definovať programy a procesy, ktoré môžu bežať na operačnom systéme. Microsoft AppLocker je populárne riešenie na bielu listinu na zvýšenie bezpečnosti na počítačoch so systémom Windows.
Správcovia môžu ďalej zvyšovať bezpečnosť pomocou podpisov na vynútenie integrity kódu a skriptov. Ten je podporovaný napríklad Windows 10 a Windows Server 2016 napríklad s Microsoft Device Guard.
Výskumníci v oblasti bezpečnosti našli dve možnosti, ako využiť aplikáciu NVIDIA Web Helper.exe od spoločnosti Nvidia:
- Použite Node.js priamo na interakciu s Windows API.
- Na spustenie škodlivého kódu nahrajte spustiteľný kód „do procesu node.js“.
Pretože je proces podpísaný, v predvolenom nastavení obchádza všetky kontroly založené na reputácii.
Z pohľadu útočníka to otvára dve možnosti. Použite node.js na priamu interakciu s rozhraním Windows API (napr. Na zakázanie bielej listiny aplikácií alebo reflexné načítanie spustiteľného súboru do procesu node.js na spustenie škodlivého binárneho súboru v mene podpísaného procesu) alebo na napísanie celého škodlivého softvéru pomocou uzla. js. Obe možnosti majú tú výhodu, že bežiaci proces je podpísaný, a preto v predvolenom nastavení obchádza antivírusové systémy (algoritmy založené na reputácii).
Ako vyriešiť problém
Pravdepodobne najlepšou voľbou je momentálne odinštalovať klienta Nvidia GeForce Experience z operačného systému.
Prvá vec, ktorú možno budete chcieť urobiť, je uistiť sa, že systém je zraniteľný. V počítači so systémom Windows otvorte priečinok% ProgramFiles (x86)% \ NVIDIA Corporation \ a skontrolujte, či existuje adresár NvNode.
Ak áno, otvorte adresár. Nájdite súbor Nvidia Web Helper.exe v adresári.
Potom kliknite pravým tlačidlom myši na súbor a vyberte vlastnosti. Po otvorení okna vlastností prepnite na podrobnosti. Tam by ste mali vidieť pôvodný názov súboru a názov produktu.
Keď zistíte, že server Node.js je skutočne v počítači, je čas ho odstrániť, ak sa nevyžaduje skúsenosť so službou Nvidia GeForce Experience.
- Môžete na to použiť Ovládací panel> Odinštalovať programový applet alebo ak používate Nastavenia systému Windows 10> Aplikácie> Aplikácie a funkcie.
- V oboch prípadoch je program Nvidia GeForce Experience uvedený ako samostatný program nainštalovaný v systéme.
- Odinštalujte program Nvidia GeForce Experience z vášho systému.
Ak neskôr skontrolujete priečinok programu, všimnete si, že celý priečinok NvNode už nie je v systéme.
Teraz prečítané : Blokovanie sledovania telemetrie Nvidia na počítačoch so systémom Windows
