Nvidia GeForce Experience Node.js уязвимость безопасности
Sec Consult исследователи безопасности обнаружил уязвимость в программном обеспечении GeForce Experience от Nvidia, которая позволяет злоумышленникам обходить белый список приложений Windows.
Nvidia GeForce Experience — это программа, которую Nvidia устанавливает по умолчанию в свои пакеты драйверов. Программа, изначально разработанная для предоставления пользователям хороших конфигураций для компьютерных игр, чтобы они лучше работали в пользовательских системах, с тех пор была взорвана Nvidia.
Программа проверяет наличие обновлений драйверов сейчас и может их установить, а принуждает регистрацию до того, как станут доступны другие его функции.
Что интересно в нем, так это то, что он не нужен для использования видеокарты, и что видеокарта работает без нее одинаково хорошо.
Nvidia GeForce Experience устанавливает сервер node.js в системе при его установке. Файл называется не node.js, а NVIDIA Web Helper.exe, и по умолчанию он находится в папке% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia переименовала Node.js в NVIDIA Web Helper.exe и подписала его. Это означает, что Node.js установлен в большинстве систем с видеокартами Nvidia, учитывая, что драйверы устанавливаются автоматически, а не с использованием опции выборочной установки.
Наконечник : Устанавливайте только те компоненты драйвера Nvidia, которые вам нужны, а также отключить службы Nvidia Streamer Services и другие процессы Nvidia,
Белый список позволяет администраторам определять программы и процессы, которые могут выполняться в операционной системе. Microsoft AppLocker — популярное решение для внесения в белый список для повышения безопасности на ПК с Windows.
Администраторы могут дополнительно повысить безопасность, используя подписи для обеспечения целостности кода и скриптов. Последний поддерживается Windows 10 и Windows Server 2016 с Microsoft Device Guard например.
Исследователи безопасности обнаружили две возможности использования приложения NVIDIA Web Helper.exe от Nvidia:
- Используйте Node.js напрямую для взаимодействия с Windows API.
- Загрузите исполняемый код «в процесс node.js» для запуска вредоносного кода.
Поскольку процесс подписан, он по умолчанию обходит любые проверки на основе репутации.
С точки зрения злоумышленника это открывает две возможности. Либо используйте node.js для непосредственного взаимодействия с Windows API (например, чтобы отключить белый список приложений или рефлексивно загрузить исполняемый файл в процесс node.js для запуска вредоносного двоичного файла от имени подписанного процесса), либо чтобы написать полное вредоносное ПО с помощью node. js. Оба варианта имеют то преимущество, что выполняемый процесс подписан и, следовательно, по умолчанию обходит антивирусные системы (алгоритмы, основанные на репутации).
Как решить проблему
Вероятно, сейчас лучший вариант — удалить клиент Nvidia GeForce Experience из операционной системы.
Первое, что вы можете сделать, это убедиться, что система уязвима. Откройте папку% ProgramFiles (x86)% \ NVIDIA Corporation \ на ПК с Windows и проверьте, существует ли каталог NvNode.
Если это так, откройте каталог. Найдите в каталоге файл Nvidia Web Helper.exe.
После этого щелкните файл правой кнопкой мыши и выберите свойства. Когда откроется окно свойств, переключитесь на детали. Там вы должны увидеть исходное имя файла и название продукта.
После того, как вы установили, что сервер Node.js действительно находится на машине, пора удалить его при условии, что Nvidia GeForce Experience не требуется.
- Для этого вы можете использовать Панель управления> Удалить приложение программы или, если вы используете Настройки Windows 10> Приложения> Приложения и функции.
- В любом случае, Nvidia GeForce Experience указывается как отдельная программа, установленная в системе.
- Удалите программу Nvidia GeForce Experience из вашей системы.
Если вы потом снова проверите папку с программой, вы заметите, что вся папка NvNode больше не находится в системе.
Сейчас читать : Блокировать отслеживание телеметрии Nvidia на ПК с Windows
