Sec Consult drošības pētnieki atklāja Nvidia programmatūras GeForce Experience ievainojamību, kas ļauj uzbrucējiem apiet Windows lietojumprogrammu balto sarakstu.
Nvidia GeForce Experience ir programma, kuru Nvidia pēc noklusējuma instalē draivera pakotnēs. Kopš tā laika Nvidia ir uzspridzinājusi programmu, kas sākotnēji bija paredzēta, lai lietotājiem nodrošinātu labu datorspēļu konfigurāciju, lai tās labāk darbotos lietotāju sistēmās.
Programmatūra tagad pārbauda draiveru atjauninājumus, un, iespējams, tos instalē, un tā piespiež reģistrāciju, pirms kļūst pieejama cita funkcionalitāte.
Interesanti, ka grafikas kartes izmantošanai tā nav nepieciešama un ka videokarte bez tās darbojas tikpat labi.
Nvidia GeForce Experience instalē sistēmā node.js serveri, kad tas tiek instalēts. Fails netiek saukts par node.js, bet gan par NVIDIA Web Helper.exe, un pēc noklusējuma tas atrodas zem% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia pārdēvēja Node.js uz NVIDIA Web Helper.exe un to parakstīja. Tas nozīmē, ka Node.js ir instalēts lielākajā daļā sistēmu ar Nvidia grafikas kartēm, ņemot vērā, ka draiveri tiek instalēti automātiski un neizmanto pielāgotas instalēšanas opciju.
Padoms : instalējiet tikai nepieciešamos Nvidia draivera komponentus un atspējojiet Nvidia Streamer Services un citus Nvidia procesus,
Baltais saraksts ļauj administratoriem definēt programmas un procesus, kas var darboties operētājsistēmā. Microsoft AppLocker ir populārs baltā saraksta risinājums, lai uzlabotu Windows personālo datoru drošību.
Administratori var uzlabot drošību vēl vairāk, izmantojot parakstus, lai panāktu koda un skripta integritāti. Pēdējo atbalsta, piemēram, Windows 10 un Windows Server 2016 ar Microsoft Device Guard.
Drošības pētnieki atrada divas iespējas, kā izmantot Nvidia NVIDIA Web Helper.exe lietojumprogrammu:
- Izmantojiet Node.js tieši, lai mijiedarbotos ar Windows API.
- Ielādējiet izpildāmo kodu "node.js procesā", lai palaistu ļaunprātīgu kodu.
Tā kā process ir parakstīts, tas pēc noklusējuma apiet visas pārbaudes, kas balstītas uz reputāciju.
No uzbrucēja viedokļa tas paver divas iespējas. Vai nu izmantojiet node.js, lai tieši mijiedarbotos ar Windows API (piemēram, lai atspējotu lietojumprogrammu iekļaušanu baltajā sarakstā vai reflektīvi ielādētu izpildāmo failu node.js procesā, lai ļaunprātīgu bināro failu palaistu parakstītā procesa vārdā), vai arī rakstiet visu ļaunprogrammatūru ar mezglu. js. Abām opcijām ir tāda priekšrocība, ka darbības process ir parakstīts, un tāpēc pēc noklusējuma tiek apietas pretvīrusu sistēmas (uz reputāciju balstīti algoritmi).
Kā atrisināt problēmu
Droši vien šobrīd labākais risinājums ir Nvidia GeForce Experience klienta atinstalēšana no operētājsistēmas.
Pirmais, ko jūs varētu vēlēties, ir pārliecināties, ka kāda sistēma ir ievainojama. Windows PC atveriet mapi% ProgramFiles (x86)% \ NVIDIA Corporation \ un pārbaudiet, vai direktorija NvNode pastāv.
Ja tas notiek, atveriet direktoriju. Direktorijā atrodiet failu Nvidia Web Helper.exe.
Pēc tam ar peles labo pogu noklikšķiniet uz faila un atlasiet rekvizītus. Kad tiek atvērts rekvizītu logs, pārslēdzieties uz detaļām. Tur jums vajadzētu redzēt oriģinālo faila vārdu un produkta nosaukumu.
Kad esat pārliecinājies, ka Node.js serveris tiešām atrodas mašīnā, ir laiks to noņemt, ja vien nav nepieciešama Nvidia GeForce Experience.
- Tam var izmantot vadības paneli> Programmas sīklietotnes atinstalēšana vai Windows 10 iestatījumi> Lietotnes> Lietotnes un funkcijas.
- Katrā ziņā Nvidia GeForce Experience tiek uzskaitīta kā atsevišķa sistēmā instalēta programma.
- Atinstalējiet Nvidia GeForce Experience programmu no savas sistēmas.
Ja pēc tam vēlreiz pārbaudīsit programmas mapi, pamanīsit, ka visa NvNode mape sistēmā vairs nav.
Tagad lasiet : bloķējiet Nvidia telemetrijas izsekošanu Windows personālajos datoros
