Sigurnosni istraživači Sec Consult otkrili su ranjivost u Nvidijinom softveru GeForce Experience koji omogućava napadačima da zaobiđu listu Windows aplikacija.
Nvidia GeForce Experience program je koji Nvidia po defaultu instalira u svojim paketima s upravljačkim programima. Program, koji je u početku dizajniran kako bi korisnicima pružio dobru konfiguraciju za računalne igre, tako da se oni bolje odvijaju na korisničkim sustavima, od tada je Nvidia rasplamsala.
Softver sada provjerava ažuriranja upravljačkih programa i može ih instalirati pa provodi registraciju prije nego što njegova druga funkcionalnost postane dostupna.
Ono što je zanimljivo u tome je što ona nije potrebna za upotrebu grafičke kartice i da video kartica jednako dobro funkcionira i bez nje.
Nvidia GeForce Experience instalira node.js poslužitelj na sustav kad je instaliran. Datoteka se ne zove node.js, već NVIDIA Web Helper.exe, a prema zadanom se nalazi pod% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia je Node.js preimenovala u NVIDIA Web Helper.exe i potpisala je. To znači da je Node.js instaliran na većini sustava s Nvidia grafičkim karticama, s obzirom na to da se upravljački programi instaliraju automatski i ne koriste prilagođenu opciju instalacije.
Savjet : Instalirajte samo potrebne komponente upravljačkog programa i onemogućite Nvidia Streamer Services i ostale Nvidia procese,
Popis dopuštenih administratorima omogućuje definiranje programa i procesa koji se mogu izvoditi u operativnom sustavu. Microsoft AppLocker popularno je rješenje za bijelu listu radi poboljšanja sigurnosti na Windows osobnim računalima.
Administratori mogu dodatno poboljšati sigurnost koristeći potpise za provođenje integriteta koda i skripte. Potonje podržava sustav Windows 10 i Windows Server 2016 s Microsoft Device Guard, primjerice.
Istraživači sigurnosti pronašli su dvije mogućnosti za korištenje Nvidijine aplikacije NVIDIA Web Helper.exe:
- Koristite Node.js izravno za interakciju s Windows API-jevima.
- Umetnite izvršni kôd "u proces node.js" kako biste pokrenuli zlonamjerni kod.
Budući da je proces potpisan, po defaultu će zaobići sve provjere na temelju reputacije.
Iz napadačke perspektive, to otvara dvije mogućnosti. Ili koristite node.js za izravnu interakciju s Windows API-om (npr. Da biste onemogućili bijelu listu aplikacija ili reflektivno učitali izvršnu datoteku u proces node.js radi pokretanja zlonamjerne binarne datoteke u ime potpisanog postupka) ili da napišete čitav zlonamjerni softver s čvorom. JS. Obje mogućnosti imaju prednost u tome što je pokrenut postupak potpisan i na taj način zaobilaze protuvirusne sustave (algoritmi temeljeni na reputaciji) po zadanom.
Kako riješiti problem
Vjerojatno je najbolja opcija trenutno deinstaliranje klijenta Nvidia GeForce Experience iz operativnog sustava.
Prvo što biste trebali poželjeti učiniti je provjeriti je li ranjiv sustav. Otvorite mapu% ProgramFiles (x86)% \ NVIDIA Corporation \ na Windows računalu i provjerite postoji li direktorij NvNode.
Ako to uspije, otvorite direktorij. Nađite datoteku Nvidia Web Helper.exe u direktoriju.
Nakon toga desnom tipkom miša kliknite datoteku i odaberite svojstva. Kad se otvori prozor sa svojstvima, prijeđite na detalje. Tamo bi trebali vidjeti izvorno ime datoteke i naziv proizvoda.
Jednom kada utvrdite da se Node.js poslužitelj doista nalazi na uređaju, vrijeme je da ga uklonite pod uvjetom da nije potrebno iskustvo Nvidia GeForce.
- Za to možete koristiti upravljačku ploču> Deinstalirajte programski program ili ako koristite Windows 10 Postavke> Aplikacije> Aplikacije i značajke.
- Bilo kako bilo, Nvidia GeForce Experience navedena je kao poseban program instaliran na sustavu.
- Deinstalirajte program Nvidia GeForce Experience iz svog sustava.
Ako ponovo provjerite mapu programa, primijetit ćete da cijela mapa NvNode više nije u sustavu.
Sada pročitajte : Blokirajte Nvidia Telemetry Praćenje na osobnim računalima sa sustavom Windows
