„Sec Consult“ saugumo tyrėjai aptiko „Nvidia“ programinės įrangos „GeForce Experience“ pažeidžiamumą, kuris leidžia užpuolikams apeiti „Windows“ programų baltąjį sąrašą.
„Nvidia“ „GeForce Experience“ yra programa, kurią „Nvidia“ pagal numatytuosius nustatymus įdiegia į savo tvarkyklių paketus. Iš pradžių „Nvidia“ susprogdino programą, iš pradžių skirtą vartotojams užtikrinti gerą kompiuterinių žaidimų konfigūraciją, kad jie geriau veiktų vartotojų sistemose.
Programinė įranga tikrina, ar nėra tvarkyklių atnaujinimų, ir gali juos įdiegti, o ji pradeda vykdyti registraciją, kol tampa nebeįmanoma naudoti jos kitos funkcijos.
Įdomu tai, kad ji nėra būtina norint naudoti vaizdo plokštę, o vaizdo plokštė be jos veikia taip pat gerai.
„Nvidia GeForce Experience“ diegia sistemoje node.js serverį, kai jis yra įdiegtas. Failas nėra vadinamas node.js, bet „NVIDIA Web Helper.exe“. Jis pagal nutylėjimą yra% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
„Nvidia“ pervadino „Node.js“ į „NVIDIA Web Helper.exe“ ir pasirašė. Tai reiškia, kad „Node.js“ yra įdiegtas daugumoje sistemų su „Nvidia“ vaizdo plokštėmis, atsižvelgiant į tai, kad tvarkyklės įdiegiamos automatiškai ir nenaudojamos pasirinktinės diegimo parinktys.
Patarimas : įdiekite tik jums reikalingus „Nvidia“ tvarkyklės komponentus ir išjunkite „Nvidia Streamer Services“ bei kitus „Nvidia“ procesus,
Baltasis sąrašas leidžia administratoriams apibrėžti programas ir procesus, kurie gali veikti operacinėje sistemoje. „Microsoft AppLocker“ yra populiarus baltojo sąrašo sprendimas, skirtas pagerinti „Windows“ asmeninių kompiuterių saugą.
Administratoriai gali dar labiau pagerinti saugumą, naudodamiesi parašais, kad būtų užtikrintas kodo ir scenarijaus vientisumas. Pastarąją palaiko „Windows 10“ ir „Windows Server 2016“, pavyzdžiui, su „Microsoft Device Guard“.
Saugumo tyrėjai rado dvi galimybes išnaudoti „Nvidia“ programą „NVIDIA Web Helper.exe“:
- Naudokite „Node.js“ tiesiogiai, kad galėtumėte sąveikauti su „Windows“ API.
- Įkelkite vykdomąjį kodą „į node.js procesą“, kad paleistumėte kenkėjišką kodą.
Kadangi procesas yra pasirašytas, jis pagal nutylėjimą apeis bet kokius reputacija pagrįstus patikrinimus.
Užpuoliko požiūriu tai atveria dvi galimybes. Arba naudokite node.js, norėdami tiesiogiai sąveikauti su „Windows API“ (pvz., Išjungti programų įtraukimą į baltąjį sąrašą arba reflektyviai įkelti vykdomąjį failą į „node.js“ procesą, kad būtų paleista kenksminga dvejetainė medžiaga pasirašyto proceso vardu), arba parašykite visą kenkėjišką programą su mazgu. js. Abiejų variantų pranašumas yra tas, kad vykdomas procesas yra pasirašytas ir todėl pagal nutylėjimą apeina antivirusines sistemas (reputacija pagrįstus algoritmus).
Kaip išspręsti problemą
Ko gero, geriausias pasirinkimas šiuo metu yra „Nvidia GeForce Experience“ kliento pašalinimas iš operacinės sistemos.
Pirmas dalykas, kurį galite padaryti, yra įsitikinti, kad sistema yra pažeidžiama. „Windows“ kompiuteryje atidarykite aplanką% ProgramFiles (x86)% \ NVIDIA Corporation \ ir patikrinkite, ar nėra katalogo „NvNode“.
Jei taip, atidarykite katalogą. Kataloge raskite failą „Nvidia Web Helper.exe“.
Dešiniuoju pelės mygtuku spustelėkite failą ir pasirinkite ypatybes. Kai atsidarys ypatybių langas, pereikite prie informacijos. Ten turėtumėte pamatyti originalų failo ir produkto pavadinimą.
Kai įsitikinsite, kad Node.js serveris iš tiesų yra kompiuteryje, laikas jį pašalinti, jei tik nereikia „Nvidia GeForce Experience“.
- Tam galite naudoti „Valdymo skydas“> „Pašalinti programos programėlę“ arba jei naudojate „Windows 10“ nustatymus> „Programos“> „Programos ir funkcijos“.
- Bet kuriuo atveju „Nvidia GeForce Experience“ yra išvardijama kaip atskira sistemoje įdiegta programa.
- Pašalinkite „Nvidia GeForce Experience“ programą iš savo sistemos.
Jei dar kartą patikrinsite programos aplanką, pastebėsite, kad visas „NvNode“ aplankas sistemoje nebėra.
Dabar skaitykite : blokuokite „Nvidia“ telemetrijos stebėjimą „Windows“ asmeniniuose kompiuteriuose
