Sec Consulti turvateadlased avastasid Nvidia tarkvara GeForce Experience haavatavuse, mis võimaldab ründajatel Windowsi rakenduste lubamise nimekirjadest mööda minna.
Nvidia GeForce Experience on programm, mille Nvidia vaikimisi oma draiveripakettidesse installib. Nvidia on sellest ajast puhunud programmi, mis oli algselt loodud pakkuma kasutajatele arvutimängude jaoks häid konfiguratsioone, et nad kasutajasüsteemides paremini töötaksid.
Tarkvara kontrollib draiverite värskendusi nüüd ja võib neid installida ning see sunnib registreerima enne, kui selle muud funktsioonid on saadaval.
Huvitav on see, et graafikakaardi kasutamiseks pole seda vaja ja et videokaart töötab sama hästi ka ilma selleta.
Nvidia GeForce Experience installib selle installimisel süsteemi node.js serveri. Faili nimi ei ole node.js, vaid NVIDIA Web Helper.exe ja see asub vaikimisi kataloogis% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia nimetas Node.js ümber NVIDIA Web Helper.exe ja kirjutas sellele alla. See tähendab, et Node.js installitakse enamikesse Nvidia graafikakaartidega süsteemidesse, arvestades, et draiverid installitakse automaatselt ega kasuta kohandatud installimise võimalust.
Näpunäide : installige ainult vajalikud Nvidia draiverikomponendid ja keelake Nvidia Streamer Services ja muud Nvidia protsessid,
Lubatud nimekiri lubab administraatoritel määratleda programme ja protsesse, mis võivad opsüsteemis töötada. Microsoft AppLocker on populaarne valge nimekirja lisamise lahendus Windowsi personaalarvutite turvalisuse parandamiseks.
Administraatorid võivad turvalisust veelgi parandada, kasutades koodi ja skriptide terviklikkuse tagamiseks allkirju. Viimast toetab näiteks Windows 10 ja Windows Server 2016 koos Microsoft Device Guardiga.
Turvauurijad leidsid Nvidia NVIDIA Web Helper.exe rakenduse kasutamiseks kaks võimalust:
- Windowsi API-dega suhtlemiseks kasutage Node.js-i otse.
- Laadi pahatahtliku koodi käivitamiseks käivitatav kood "node.js protsessi".
Kuna protsess on allkirjastatud, jätab see vaikimisi mööda kõik mainepõhised kontrollid.
Ründaja seisukohast avab see kaks võimalust. Kasutage sõlme.js, et suhelda otse Windowsi API-ga (nt keelata rakenduste lubamine loendisse või käivitada reflektooriliselt käivitatav fail node.js protsessi, et pahatahtlikku binaarset faili käitada allkirjastatud protsessi nimel) või kirjutada täielik pahavara koos sõlmega. js. Mõlemal valikul on eelis, et tööprotsess on allkirjastatud ja seega möödub vaikimisi viirusetõrjesüsteemidest (mainepõhised algoritmid).
Kuidas probleemi lahendada
Tõenäoliselt on praegu parim võimalus desinfitseerida Nvidia GeForce Experience klient opsüsteemist.
Esimene asi, mida võiksite teha, on veenduda, et süsteem on haavatav. Avage Windowsi arvutis kaust% ProgramFiles (x86)% \ NVIDIA Corporation \ ja kontrollige, kas kataloog NvNode on olemas.
Kui see juhtub, avage kataloog. Leidke kataloogist fail Nvidia Web Helper.exe.
Paremklõpsake pärast seda failil ja valige atribuudid. Kui atribuutide aken avaneb, vahetage üksikasju. Seal peaksite nägema originaalfaili ja toote nime.
Kui olete kindlaks teinud, et Node.js-server on tõepoolest masinas, on aeg see eemaldada, kui Nvidia GeForce Experience pole nõutav.
- Selleks võite kasutada juhtpaneeli> Programmi desinstalli või kui kasutate Windows 10 Seaded> Rakendused> Rakendused ja funktsioonid.
- Mõlemal juhul on Nvidia GeForce Experience loetletud eraldi süsteemina installitud programmina.
- Desinstallige Nvidia GeForce Experience programm oma süsteemist.
Kui kontrollite programmi kausta uuesti pärast seda, märkate, et kogu NvNode kausta pole enam süsteemis.
Nüüd loetud : blokeerige Nvidia telemeetria jälgimine Windowsi personaalarvutites
