Исследователи безопасности Sec Consult обнаружили уязвимость в программном обеспечении Nvidia GeForce Experience, которая позволяет злоумышленникам обходить белый список приложений Windows.
Nvidia GeForce Experience - это программа, которую Nvidia по умолчанию устанавливает в свои пакеты драйверов. Программа, изначально предназначенная для предоставления пользователям хороших конфигураций компьютерных игр, чтобы они лучше работали на пользовательских системах, с тех пор была взорвана Nvidia.
Программное обеспечение проверяет наличие обновлений драйверов и может устанавливать их, а также принудительно регистрирует их до того, как становятся доступными другие его функции.
Что интересно, так это то, что она не нужна для использования видеокарты, и что видеокарта без нее работает одинаково хорошо.
Nvidia GeForce Experience устанавливает сервер node.js в систему при его установке. Файл называется не node.js, а NVIDIA Web Helper.exe, и по умолчанию он находится в папке% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia переименовала Node.js в NVIDIA Web Helper.exe и подписала его. Это означает, что Node.js установлен на большинстве систем с графическими картами Nvidia, учитывая, что драйверы устанавливаются автоматически и не используют опцию пользовательской установки.
Совет. Устанавливайте только те компоненты драйвера Nvidia, которые вам нужны, и отключайте Nvidia Streamer Services и другие процессы Nvidia.
Белый список позволяет администраторам определять программы и процессы, которые могут выполняться в операционной системе. Microsoft AppLocker - это популярное решение для внесения в белый список для повышения безопасности на ПК с Windows.
Администраторы могут повысить безопасность, используя сигнатуры для обеспечения целостности кода и скриптов. Последний поддерживается, например, Windows 10 и Windows Server 2016 с Microsoft Device Guard.
Исследователи безопасности нашли две возможности использовать приложение NVIDIA Web Helper.exe от Nvidia:
- Используйте Node.js напрямую для взаимодействия с Windows API.
- Загрузите исполняемый код «в процесс node.js» для запуска вредоносного кода.
Поскольку процесс подписан, он по умолчанию будет обходить любые проверки на основе репутации.
С точки зрения атакующего, это открывает две возможности. Либо используйте файл node.js для непосредственного взаимодействия с API-интерфейсом Windows (например, для отключения белого списка приложений, либо для принудительной загрузки исполняемого файла в процесс node.js для запуска вредоносного двоичного файла от имени подписанного процесса) или для записи полной вредоносной программы с узлом. JS. Преимущество обоих вариантов заключается в том, что запущенный процесс подписан и поэтому по умолчанию обходит антивирусные системы (алгоритмы на основе репутации).
Как решить проблему
Вероятно, лучшим вариантом сейчас является удаление клиента Nvidia GeForce Experience из операционной системы.
Первое, что вы можете сделать, это убедиться, что система уязвима. Откройте папку% ProgramFiles (x86)% \ NVIDIA Corporation \ на ПК с Windows и проверьте, существует ли каталог NvNode.
Если это так, откройте каталог. Найдите в каталоге файл Nvidia Web Helper.exe.
Затем щелкните правой кнопкой мыши файл и выберите свойства. Когда откроется окно свойств, переключитесь на детали. Там вы должны увидеть оригинальное имя файла и название продукта.
После того, как вы установили, что сервер Node.js действительно находится на компьютере, пришло время удалить его при условии, что Nvidia GeForce Experience не требуется.
- Для этого вы можете использовать Панель управления> Удалить программный апплет или использовать Настройки Windows 10> Приложения> Приложения и функции.
- В любом случае, Nvidia GeForce Experience указана в списке как отдельная программа, установленная в системе.
- Удалите программу Nvidia GeForce Experience из своей системы.
Если после этого вы снова проверите папку программы, вы заметите, что вся папка NvNode больше не находится в системе.
Прочитайте : Блокируйте отслеживание телеметрии Nvidia на ПК с Windows
