I ricercatori della sicurezza di Sec Consult hanno scoperto una vulnerabilità nel software GeForce Experience di Nvidia che consente agli aggressori di eludere la whitelisting delle applicazioni Windows.
GeForce Experience di Nvidia è un programma che Nvidia installa per impostazione predefinita nei suoi pacchetti driver. Il programma, inizialmente progettato per fornire agli utenti buone configurazioni per i giochi per computer in modo che funzionino meglio sui sistemi degli utenti, è stato fatto saltare da allora da Nvidia.
Il software controlla subito gli aggiornamenti dei driver e potrebbe installarli e impone la registrazione prima che le altre sue funzionalità diventino disponibili.
La cosa interessante è che non è necessario per utilizzare la scheda grafica e che la scheda video funziona ugualmente bene senza di essa.
Nvidia GeForce Experience installa un server node.js sul sistema quando è installato. Il file non si chiama node.js, ma NVIDIA Web Helper.exe e si trova in% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ per impostazione predefinita.
Nvidia ha rinominato Node.js in NVIDIA Web Helper.exe e lo ha firmato. Ciò significa che Node.js è installato sulla maggior parte dei sistemi con schede grafiche Nvidia, considerando che i driver sono installati automaticamente e non utilizzano l'opzione di installazione personalizzata.
Suggerimento : installa solo i componenti del driver Nvidia necessari e disabilita Nvidia Streamer Services e altri processi Nvidia,
La whitelisting consente agli amministratori di definire programmi e processi che possono essere eseguiti su un sistema operativo. Microsoft AppLocker è una popolare soluzione di whitelisting per migliorare la sicurezza su PC Windows.
Gli amministratori possono migliorare ulteriormente la sicurezza utilizzando le firme per imporre l'integrità del codice e degli script. Quest'ultimo è supportato da Windows 10 e Windows Server 2016, ad esempio con Microsoft Device Guard.
I ricercatori della sicurezza hanno trovato due possibilità per sfruttare l'applicazione NVIDIA Web Helper.exe di Nvidia:
- Utilizzare Node.js direttamente per interagire con le API di Windows.
- Caricare il codice eseguibile "nel processo node.js" per eseguire codice dannoso.
Poiché il processo è firmato, per impostazione predefinita ignorerà qualsiasi controllo basato sulla reputazione.
Dal punto di vista dell'attaccante, questo apre due possibilità. Utilizzare node.js per interagire direttamente con l'API di Windows (ad esempio per disabilitare la whitelisting dell'applicazione o caricare in modo riflettente un eseguibile nel processo node.js per eseguire il file binario dannoso per conto del processo firmato) o per scrivere il malware completo con il nodo. js. Entrambe le opzioni hanno il vantaggio che il processo in esecuzione è firmato e quindi ignora i sistemi antivirus (algoritmi basati sulla reputazione) per impostazione predefinita.
Come risolvere il problema
Probabilmente l'opzione migliore in questo momento è disinstallare il client Nvidia GeForce Experience dal sistema operativo.
La prima cosa che potresti voler fare è assicurarti che un sistema sia vulnerabile. Aprire la cartella% ProgramFiles (x86)% \ NVIDIA Corporation \ sul PC Windows e verificare l'esistenza della directory NvNode.
In tal caso, aprire la directory. Trova il file Nvidia Web Helper.exe nella directory.
Fare clic con il tasto destro del mouse sul file in seguito, quindi selezionare Proprietà. Quando si apre la finestra delle proprietà, passa ai dettagli. Lì dovresti vedere il nome del file originale e il nome del prodotto.
Una volta stabilito che un server Node.js è effettivamente sul computer, è tempo di rimuoverlo, a condizione che Nvidia GeForce Experience non sia richiesto.
- È possibile utilizzare il Pannello di controllo> Disinstalla un'applet Programma a tale scopo o se si utilizzano Impostazioni di Windows 10> App> App e funzionalità.
- In entrambi i casi, Nvidia GeForce Experience è elencata come programma separato installato sul sistema.
- Disinstallare il programma Nvidia GeForce Experience dal sistema.
Se si controlla nuovamente la cartella del programma in seguito, si noterà che l'intera cartella NvNode non si trova più sul sistema.
Ora leggi : Blocca il monitoraggio della telemetria Nvidia su PC Windows
