Nvidia GeForce Experience Node.js Sicherheitslücke

Sicherheitsforscher von Sec Consult haben eine Sicherheitslücke in der GeForce Experience-Software von Nvidia entdeckt, mit der Angreifer die Whitelist von Windows-Anwendungen umgehen können.

Nvidias GeForce Experience ist ein Programm, das Nvidia standardmäßig in seinen Treiberpaketen installiert. Das Programm, das ursprünglich entwickelt wurde, um Benutzern eine gute Konfiguration für Computerspiele zu bieten, damit sie auf Benutzersystemen besser laufen, wurde seitdem von Nvidia in die Luft gesprengt.

Die Software sucht jetzt nach Treiberaktualisierungen und installiert diese möglicherweise. Sie erzwingt die Registrierung, bevor die anderen Funktionen verfügbar werden.

Das Interessante daran ist, dass es für die Nutzung der Grafikkarte nicht erforderlich ist und dass die Grafikkarte auch ohne sie einwandfrei funktioniert.

Nvidia GeForce Experience installiert bei der Installation einen node.js-Server auf dem System. Die Datei heißt nicht node.js, sondern NVIDIA Web Helper.exe und befindet sich standardmäßig unter% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.

Nvidia hat Node.js in NVIDIA Web Helper.exe umbenannt und signiert. Dies bedeutet, dass Node.js auf den meisten Systemen mit Nvidia-Grafikkarten installiert wird, wenn man bedenkt, dass die Treiber automatisch installiert werden und nicht die benutzerdefinierte Installationsoption verwenden.

Tipp : Installieren Sie nur die Nvidia-Treiberkomponenten, die Sie benötigen, und deaktivieren Sie Nvidia Streamer Services und andere Nvidia-Prozesse.

Mithilfe der Positivliste können Administratoren Programme und Prozesse definieren, die unter einem Betriebssystem ausgeführt werden können. Microsoft AppLocker ist eine beliebte Whitelisting-Lösung zur Verbesserung der Sicherheit auf Windows-PCs.

Administratoren können die Sicherheit durch die Verwendung von Signaturen zur Durchsetzung der Code- und Skriptintegrität weiter verbessern. Letzteres wird beispielsweise von Windows 10 und Windows Server 2016 mit Microsoft Device Guard unterstützt.

Die Sicherheitsforscher haben zwei Möglichkeiten gefunden, die NVIDIA Web Helper.exe-Anwendung von Nvidia auszunutzen:

  1. Verwenden Sie Node.js direkt, um mit Windows-APIs zu interagieren.
  2. Laden Sie ausführbaren Code "in den node.js-Prozess", um bösartigen Code auszuführen.

Da der Prozess signiert ist, werden Reputationsprüfungen standardmäßig umgangen.

Dies eröffnet aus Angreiferperspektive zwei Möglichkeiten. Verwenden Sie node.js entweder, um direkt mit der Windows-API zu interagieren (z. B. um das Whitelisting von Anwendungen zu deaktivieren oder eine ausführbare Datei in den node.js-Prozess zu laden, um die schädliche Binärdatei im Namen des signierten Prozesses auszuführen) oder um die gesamte Malware mit node zu schreiben. js. Beide Optionen haben den Vorteil, dass der laufende Prozess signiert ist und somit standardmäßig Antivirensysteme (Reputations-basierte Algorithmen) umgangen werden.

So beheben Sie das Problem

Die derzeit wahrscheinlich beste Option ist die Deinstallation des Nvidia GeForce Experience-Clients vom Betriebssystem.

Stellen Sie zunächst sicher, dass ein System anfällig ist. Öffnen Sie den Ordner% ProgramFiles (x86)% \ NVIDIA Corporation \ auf dem Windows-PC und überprüfen Sie, ob das Verzeichnis NvNode vorhanden ist.

Wenn dies der Fall ist, öffnen Sie das Verzeichnis. Suchen Sie die Datei Nvidia Web Helper.exe im Verzeichnis.

Klicken Sie anschließend mit der rechten Maustaste auf die Datei und wählen Sie Eigenschaften aus. Wenn das Eigenschaftenfenster geöffnet wird, wechseln Sie zu Details. Dort sollten Sie den ursprünglichen Dateinamen und den Produktnamen sehen.

Sobald Sie festgestellt haben, dass sich tatsächlich ein Node.js-Server auf dem Computer befindet, müssen Sie ihn entfernen, sofern Nvidia GeForce Experience nicht erforderlich ist.

  1. Sie können dazu die Systemsteuerung> Programm-Applet deinstallieren oder Windows 10-Einstellungen> Apps> Apps & Funktionen verwenden.
  2. In beiden Fällen wird Nvidia GeForce Experience als separates Programm aufgeführt, das auf dem System installiert ist.
  3. Deinstallieren Sie das Nvidia GeForce Experience-Programm von Ihrem System.

Wenn Sie den Programmordner anschließend erneut überprüfen, werden Sie feststellen, dass sich nicht mehr der gesamte NvNode-Ordner auf dem System befindet.

Jetzt lesen : Nvidia Telemetry Tracking auf Windows-PCs blockieren