Изследователите по сигурността Sec Consult откриха уязвимост в софтуера GeForce Experience на Nvidia, който позволява на нападателите да заобиколят списъка с приложения на Windows.
GeForce Experience на Nvidia е програма, която Nvidia инсталира по подразбиране в своите драйверни пакети. Програмата, първоначално предназначена да предостави на потребителите добра конфигурация за компютърни игри, така че те да работят по-добре в потребителските системи, оттогава е разрушена от Nvidia.
Софтуерът проверява за актуализации на драйвери сега и може да ги инсталира и налага регистрация, преди да стане достъпна другата му функционалност.
Интересното е, че тя не е необходима за използване на графичната карта и че видеокартата работи еднакво добре и без нея.
Nvidia GeForce Experience инсталира node.js сървър в системата, когато е инсталиран. Файлът не се нарича node.js, а NVIDIA Web Helper.exe и се намира под% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ по подразбиране.
Nvidia преименува Node.js на NVIDIA Web Helper.exe и я подписва. Това означава, че Node.js е инсталиран на повечето системи с графични карти на Nvidia, като се има предвид, че драйверите се инсталират автоматично и не използват опцията за персонализирано инсталиране.
Съвет : Инсталирайте само нужните компоненти на драйвера за Nvidia и деактивирайте Nvidia Streamer Services и други Nvidia процеси,
Белият списък позволява на администраторите да определят програми и процеси, които могат да се изпълняват в операционна система. Microsoft AppLocker е популярно решение за подобряване на сигурността на Windows компютри.
Администраторите могат да подобрят сигурността допълнително, като използват подписи, за да наложат целостта на кода и скрипта. Последният се поддържа от Windows 10 и Windows Server 2016 с Microsoft Device Guard, например.
Изследователите по сигурността откриха две възможности за използване на приложението NVIDIA Web Helper.exe на Nvidia:
- Използвайте Node.js директно за взаимодействие с API на Windows.
- Заредете изпълним код "в процеса node.js", за да стартирате злонамерен код.
Тъй като процесът е подписан, той ще заобиколи всички проверки, базирани на репутацията, по подразбиране.
От гледна точка на нападателя това отваря две възможности. Или използвайте node.js, за да взаимодействате директно с API на Windows (например, за да деактивирате белите списъци на приложенията или да заредите рефлексивно изпълним файл в процеса node.js, за да стартирате злонамерения двоичен файл от името на подписания процес) или да напишете пълния зловреден софтуер с възел. JS. И двете опции имат предимството, че протичащият процес е подписан и следователно заобикаля антивирусни системи (алгоритми, базирани на репутацията) по подразбиране.
Как да разрешим проблема
Вероятно най-добрият вариант в момента е да деинсталирате клиента на Nvidia GeForce Experience от операционната система.
Първото нещо, което може да искате да направите, е да се уверите, че една система е уязвима. Отворете папката% ProgramFiles (x86)% \ NVIDIA Corporation \ на компютъра с Windows и проверете дали директория NvNode съществува.
Ако това стане, отворете директорията. Намерете файла Nvidia Web Helper.exe в директорията.
След това щракнете с десния бутон върху файла и изберете свойства. Когато се отвори прозорецът на свойствата, преминете към подробности. Там трябва да видите името на оригиналния файл и името на продукта.
След като установите, че сървърът на Node.js наистина е на машината, е време да го премахнете, при условие че не се изисква опит на Nvidia GeForce.
- Можете да използвате Контролния панел> Деинсталирайте програмен аплет за това или ако използвате Настройки на Windows 10> Приложения> Приложения и функции.
- Така или иначе Nvidia GeForce Experience е посочена като отделна програма, инсталирана в системата.
- Деинсталирайте програмата Nvidia GeForce Experience от вашата система.
Ако проверите отново папката на програмата след това, ще забележите, че цялата папка NvNode вече не е в системата.
Сега прочетете : Блокиране на Nvidia Telemetry Tracking на компютри с Windows
