Sec Consult säkerhetsforskare upptäckte en sårbarhet i Nvidias GeForce Experience-programvara som gör det möjligt för angripare att kringgå Windows-programlistan.
Nvidias GeForce Experience är ett program som Nvidia installerar som standard i sina drivrutinspaket. Programmet, som ursprungligen var utformat för att ge användarna goda konfigurationer för datorspel så att de körs bättre på användarsystem, har sedan dess spränts av Nvidia.
Programvaran letar efter drivrutinuppdateringar nu och kan installera dem, och den tvingar registrering innan dess andra funktionalitet blir tillgänglig.
Det som är intressant med det är att det inte behövs för att använda grafikkortet och att grafikkortet fungerar lika bra utan det.
Nvidia GeForce Experience installerar en node.js-server på systemet när den installeras. Filen heter inte node.js, utan NVIDIA Web Helper.exe, och den finns som standard under% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia bytte namn på Node.js till NVIDIA Web Helper.exe och undertecknade det. Vad detta betyder är att Node.js är installerat på de flesta system med Nvidia-grafikkort, med tanke på att drivrutiner installeras automatiskt och inte använder det anpassade installationsalternativet.
Tips : Installera bara de Nvidia-drivrutinkomponenter som du behöver och inaktivera Nvidia Streamer Services och andra Nvidia-processer,
Med vitlistning kan administratörer definiera program och processer som kan köras i ett operativsystem. Microsoft AppLocker är en populär vitlistningslösning för att förbättra säkerheten på Windows-datorer.
Administratörer kan förbättra säkerheten ytterligare genom att använda signaturer för att upprätthålla kod- och skriptintegritet. Det senare stöds till exempel av Windows 10 och Windows Server 2016 med Microsoft Device Guard.
Säkerhetsforskarna fann två möjligheter att utnyttja Nvidias NVIDIA Web Helper.exe-applikation:
- Använd Node.js direkt för att interagera med Windows API: er.
- Ladda körbar kod "i node.js-processen" för att köra skadlig kod.
Eftersom processen är undertecknad kommer den att kringgå alla rykte-baserade kontroller som standard.
Från angriparperspektiv öppnar detta två möjligheter. Antingen använder node.js för att direkt interagera med Windows API (t.ex. för att inaktivera programvitelistan eller reflekterande reflektera en körbar i node.js-processen för att köra den skadliga binären på uppdrag av den signerade processen) eller för att skriva hela skadlig programvara med noden. js. Båda alternativen har fördelen att körningsprocessen är signerad och därför kringgår antivirussystem (rykte-baserade algoritmer) per standard.
Hur du löser problemet
Det bästa alternativet just nu är att avinstallera Nvidia GeForce Experience-klienten från operativsystemet.
Det första du kanske vill göra är att se till att ett system är sårbart. Öppna mappen% ProgramFiles (x86)% \ NVIDIA Corporation \ på Windows PC och kontrollera om katalogen NvNode finns.
Om det gör det, öppna katalogen. Hitta filen Nvidia Web Helper.exe i katalogen.
Högerklicka på filen efteråt och välj egenskaper. När egenskapsfönstret öppnas växlar du till detaljer. Där ska du se det ursprungliga filnamnet och produktnamnet.
När du har konstaterat att en Node.js-server verkligen finns på maskinen är det dags att ta bort den förutsatt att Nvidia GeForce Experience inte krävs.
- Du kan använda Kontrollpanelen> Avinstallera en programapplet för det, eller om du använder Windows 10-inställningar> Appar> Appar & funktioner.
- I vilket fall som helst är Nvidia GeForce Experience listat som ett separat program installerat på systemet.
- Avinstallera Nvidia GeForce Experience-programmet från ditt system.
Om du kontrollerar programmappen efteråt igen, kommer du att märka att hela NvNode-mappen inte längre finns i systemet.
Läs nu : Blockera Nvidia Telemetry Tracking på Windows-datorer
