Sec Consult beveiligingsonderzoekers ontdekten een kwetsbaarheid in Nvidia's GeForce Experience-software waarmee aanvallers de whitelisting van Windows-applicaties kunnen omzeilen.
Nvidia's GeForce Experience is een programma dat Nvidia standaard in de stuurprogrammapakketten installeert. Het programma, oorspronkelijk ontworpen om gebruikers te voorzien van goede configuraties voor computerspellen zodat ze beter op gebruikerssystemen werken, is sindsdien opgeblazen door Nvidia.
De software controleert nu op stuurprogramma-updates en kan deze installeren, en het dwingt registratie af voordat de andere functionaliteit beschikbaar komt.
Wat er interessant aan is, is dat het niet nodig is voor het gebruik van de grafische kaart, en dat de videokaart zonder deze even goed werkt.
Nvidia GeForce Experience installeert een node.js-server op het systeem wanneer deze wordt geïnstalleerd. Het bestand heet niet node.js, maar NVIDIA Web Helper.exe en bevindt zich standaard onder% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia heeft de naam Node.js omgedoopt tot NVIDIA Web Helper.exe en ondertekend. Dit betekent dat Node.js is geïnstalleerd op de meeste systemen met grafische kaarten van Nvidia, aangezien de stuurprogramma's automatisch worden geïnstalleerd en de aangepaste installatieoptie niet wordt gebruikt.
Tip : installeer alleen de Nvidia-stuurprogrammaonderdelen die u nodig hebt en schakel Nvidia Streamer Services en andere Nvidia-processen uit,
Met witte lijsten kunnen beheerders programma's en processen definiëren die op een besturingssysteem kunnen worden uitgevoerd. Microsoft AppLocker is een populaire whitelisting-oplossing om de beveiliging op Windows-pc's te verbeteren.
Beheerders kunnen de beveiliging verder verbeteren door handtekeningen te gebruiken om de integriteit van code en scripts af te dwingen. Dit laatste wordt bijvoorbeeld ondersteund door Windows 10 en Windows Server 2016 met Microsoft Device Guard.
De beveiligingsonderzoekers hebben twee mogelijkheden gevonden om de NVIDIA Web Helper.exe-applicatie van Nvidia te exploiteren:
- Gebruik Node.js rechtstreeks om te communiceren met Windows API's.
- Laad uitvoerbare code "in het node.js-proces" om schadelijke code uit te voeren.
Omdat het proces is ondertekend, omzeilt het standaard reputatie-gebaseerde controles.
Vanuit het perspectief van de aanvaller opent dit twee mogelijkheden. Gebruik node.js om rechtstreeks te communiceren met de Windows API (bijvoorbeeld om het whitelisten van toepassingen uit te schakelen of een uitvoerbaar bestand in het node.js-proces te laden om het kwaadaardige binaire bestand namens het ondertekende proces uit te voeren) of om de volledige malware met node te schrijven. js. Beide opties hebben het voordeel dat het lopende proces is ondertekend en daarom standaard antivirussystemen (op reputatie gebaseerde algoritmen) omzeilt.
Hoe het probleem op te lossen
Waarschijnlijk is de beste optie op dit moment om de Nvidia GeForce Experience-client van het besturingssysteem te verwijderen.
Het eerste dat u misschien wilt doen, is ervoor zorgen dat een systeem kwetsbaar is. Open de map% ProgramFiles (x86)% \ NVIDIA Corporation \ op de Windows-pc en controleer of de directory NvNode bestaat.
Als dit het geval is, opent u de map. Zoek het bestand Nvidia Web Helper.exe in de map.
Klik daarna met de rechtermuisknop op het bestand en selecteer eigenschappen. Wanneer het eigenschappenvenster wordt geopend, schakelt u over naar details. Daar zou u de originele bestandsnaam en productnaam moeten zien.
Zodra u hebt vastgesteld dat een Node.js-server inderdaad op de machine staat, is het tijd om deze te verwijderen op voorwaarde dat Nvidia GeForce Experience niet vereist is.
- U kunt hiervoor het Configuratiescherm> Een programma-applet verwijderen of Windows 10 Instellingen> Apps> Apps & functies gebruiken.
- Hoe dan ook, Nvidia GeForce Experience wordt vermeld als een afzonderlijk programma dat op het systeem is geïnstalleerd.
- Verwijder het Nvidia GeForce Experience-programma van uw systeem.
Als u daarna de programmamap opnieuw controleert, zult u merken dat de hele map NvNode niet langer op het systeem staat.
Nu lezen : Blokkeer Nvidia-telemetrietracking op Windows-pc's
