Дослідники служби безпеки Sec Consult виявили вразливість у програмі GeForce Experience Nvidia, яка дозволяє зловмисникам обходити білі списки програм Windows.
GeForce Experience Nvidia - це програма, яку Nvidia встановлює за замовчуванням у своїх драйверах. Програма, спочатку створена для того, щоб надати користувачам гарну конфігурацію для комп’ютерних ігор, щоб вони краще працювали в системах користувачів, відтоді Nvidia підірвалася.
Програмне забезпечення перевіряє оновлення драйверів зараз і може встановити їх, і воно здійснює реєстрацію до того, як стане доступною інша функціональність.
Що цікаво в тому, що вона не потрібна для використання відеокарти, а відеокарта без неї працює однаково добре.
Nvidia GeForce Experience встановлює сервер node.js під час його установки. Файл називається не node.js, а NVIDIA Web Helper.exe, і він знаходиться за замовчуванням під% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia перейменував Node.js в NVIDIA Web Helper.exe і підписав його. Це означає, що Node.js встановлений у більшості систем із відеокартами Nvidia, враховуючи, що драйвери встановлюються автоматично та не використовують спеціальну опцію встановлення.
Порада . Встановіть лише необхідні компоненти драйверів Nvidia та відключіть Nvidia Streamer Services та інші процеси Nvidia,
Білий список дозволяє адміністраторам визначати програми та процеси, які можуть працювати в операційній системі. Microsoft AppLocker - це популярне рішення, що сприяє підвищенню безпеки на комп'ютерах Windows.
Адміністратори можуть додатково покращити безпеку, використовуючи підписи для забезпечення цілісності коду та скрипту. Останнє підтримується Windows 10 та Windows Server 2016, наприклад, Microsoft Device Guard.
Дослідники з питань безпеки знайшли дві можливості використовувати додаток NVIDIA Web Helper.exe від Nvidia:
- Використовуйте Node.js безпосередньо для взаємодії з API API.
- Завантажте виконуваний код "у процес node.js", щоб запустити шкідливий код.
Оскільки процес підписаний, він за замовчуванням обходить будь-які перевірки на основі репутації.
З точки зору нападника, це відкриває дві можливості. Або використовуйте node.js для прямої взаємодії з API Windows (наприклад, для відключення білого списку програм або рефлекторного завантаження виконуваного файлу в процес node.js для запуску шкідливого бінарного файлу від імені підписаного процесу) або для запису повного зловмисного програмного забезпечення з вузлом. js. Перевага обох варіантів полягає в тому, що запущений процес підписаний і, таким чином, обходить антивірусні системи (алгоритми, засновані на репутації) за замовчуванням.
Як вирішити проблему
Напевно, найкращим варіантом зараз є видалення клієнта Nvidia GeForce Experience з операційної системи.
Перше, що ви можете зробити, це переконатися, що система є вразливою. Відкрийте папку% ProgramFiles (x86)% \ NVIDIA Corporation \ на ПК з Windows і перевірте, чи існує каталог NvNode.
Якщо так, відкрийте каталог. Знайдіть файл Nvidia Web Helper.exe в каталозі.
Потім натисніть файл правою кнопкою миші та виберіть властивості. Коли відкриється вікно властивостей, перейдіть до деталей. Там ви повинні побачити оригінальне ім'я файлу та назву продукту.
Після того як ви встановили, що сервер Node.js справді є на машині, час його видалити за умови, що досвід Nvidia GeForce не потрібен.
- Ви можете використовувати Панель управління> Видалити аплет програми для цього або якщо ви користуєтесь Налаштуваннями Windows 10> Програми> Програми та функції.
- Так чи інакше, Nvidia GeForce Experience вказана як окрема програма, встановлена в системі.
- Видаліть програму Nvidia GeForce Experience зі своєї системи.
Якщо після цього ще раз перевірити папку програми, ви помітите, що вся папка NvNode більше не в системі.
Тепер читайте : Блокувати відстеження телеметрії Nvidia на комп'ютерах Windows
