Nvidia GeForce Experience Вразливість безпеки Node.js
- Категорія: Windows
Sec Consult дослідників безпеки виявили вразливість програмного забезпечення GeForce Experience від Nvidia, що дозволяє зловмисникам обходити білі списки програм Windows.
GeForce Experience Nvidia - це програма, яку Nvidia встановлює за замовчуванням у своїх драйверах. Програма, спочатку створена для того, щоб надати користувачам гарну конфігурацію для комп'ютерних ігор, щоб вони краще працювали в системах користувачів, з тих пір Nvidia підірвалася.
Програмне забезпечення перевіряє наявність оновлень драйверів зараз і може встановити ці, і це примушує реєстрацію перш, ніж інші його функціональні можливості стануть доступними.
Що цікаво в тому, що вона не потрібна для використання відеокарти, а відеокарта без неї працює однаково добре.
Nvidia GeForce Experience встановлює сервер node.js під час його встановлення в системі. Файл називається не node.js, а NVIDIA Web Helper.exe, і він знаходиться за замовчуванням під% ProgramFiles (x86)% NVIDIA Corporation NvNode .
Nvidia перейменував Node.js на NVIDIA Web Helper.exe і підписав його. Це означає, що Node.js встановлений у більшості систем із відеокартами Nvidia, враховуючи, що драйвери встановлюються автоматично та не використовують спеціальну опцію встановлення.
Порада : Встановлюйте лише необхідні компоненти драйвера Nvidia , і вимкнути сервіси Nvidia Streamer та інші процеси Nvidia ,
Білий список дозволяє адміністраторам визначати програми та процеси, які можуть працювати в операційній системі. Microsoft AppLocker - популярне рішення, що сприяє підвищенню безпеки на комп'ютерах Windows.
Адміністратори можуть додатково покращити безпеку, використовуючи підписи для забезпечення цілісності коду та скрипту. Останнє підтримується Windows 10 та Windows Server 2016 с Microsoft Device Guard наприклад.
Дослідники з питань безпеки знайшли дві можливості використовувати додаток NVIDIA Web Helper.exe Nvidia:
- Використовуйте Node.js безпосередньо для взаємодії з API API.
- Завантажте виконуваний код 'у процес node.js', щоб запустити шкідливий код.
Оскільки процес підписаний, він за замовчуванням обходить будь-які перевірки на основі репутації.
З точки зору нападника, це відкриває дві можливості. Або використовуйте node.js для прямої взаємодії з API Windows (наприклад, для відключення списку програм або рефлекторного завантаження виконуваного файлу в процес node.js для запуску шкідливого бінарного файлу від імені підписаного процесу) або для запису повного зловмисного програмного забезпечення з вузлом. js. Обидва варіанти мають перевагу в тому, що запущений процес підписаний і, таким чином, обходить антивірусні системи (алгоритми, засновані на репутації) за замовчуванням.
Як вирішити проблему
Напевно, найкращим варіантом зараз є видалення клієнта Nvidia GeForce Experience з операційної системи.
Перше, що ви можете зробити, це переконатися, що система є вразливою. Відкрийте папку% ProgramFiles (x86)% NVIDIA Corporation на ПК з Windows і перевірте, чи існує каталог NvNode.
Якщо так, відкрийте каталог. Знайдіть файл Nvidia Web Helper.exe у каталозі.
Потім натисніть файл правою кнопкою миші та виберіть властивості. Коли відкриється вікно властивостей, перейдіть до деталей. Там ви повинні побачити назву оригіналу файлу та назву продукту.
Після того, як ви встановили, що сервер Node.js дійсно є на машині, час його видалити за умови, що досвід Nvidia GeForce не потрібен.
- Ви можете використовувати Панель управління> Видалити аплет програми для цього або якщо ви користуєтесь Налаштуваннями Windows 10> Програми> Програми та функції.
- Так чи інакше, Nvidia GeForce Experience вказана як окрема програма, встановлена в системі.
- Видаліть програму Nvidia GeForce Experience зі своєї системи.
Якщо після цього ще раз перевірити папку програми, ви помітите, що вся папка NvNode більше не в системі.
Тепер читайте : Блокувати відстеження телеметрії Nvidia на комп'ютерах Windows