Trải nghiệm Nvidia GeForce Lỗ hổng bảo mật Node.js

Các nhà nghiên cứu bảo mật của Sec Consulting đã phát hiện ra lỗ hổng trong phần mềm GeForce Experience của Nvidia, cho phép kẻ tấn công bỏ qua danh sách trắng của ứng dụng Windows.

Trải nghiệm GeForce của Nvidia là chương trình mà Nvidia cài đặt theo mặc định trong các gói trình điều khiển của nó. Chương trình, ban đầu được thiết kế để cung cấp cho người dùng cấu hình tốt cho các trò chơi trên máy tính để chúng chạy tốt hơn trên các hệ thống người dùng, đã bị Nvidia thổi bay kể từ đó.

Phần mềm kiểm tra các bản cập nhật trình điều khiển ngay bây giờ và có thể cài đặt các bản cập nhật đó và nó thực thi đăng ký trước khi chức năng khác của nó có sẵn.

Điều thú vị ở đây là nó không cần thiết cho việc sử dụng card đồ họa và card màn hình hoạt động tốt như nhau nếu không có nó.

Nvidia GeForce Experience cài đặt máy chủ node.js trên hệ thống khi được cài đặt. Tệp không được gọi là node.js, nhưng NVIDIA Web Helper.exe và nó được đặt dưới% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ theo mặc định.

Nvidia đã đổi tên Node.js thành NVIDIA Web Helper.exe và ký tên. Điều này có nghĩa là Node.js được cài đặt trên phần lớn các hệ thống có card đồ họa Nvidia, xem xét rằng trình điều khiển được cài đặt tự động và không sử dụng tùy chọn cài đặt tùy chỉnh.

Mẹo : Chỉ cài đặt các thành phần trình điều khiển Nvidia mà bạn cần và tắt Nvidia Streamer Services và các quy trình Nvidia khác,

Danh sách trắng cho phép quản trị viên xác định các chương trình và quy trình có thể chạy trên hệ điều hành. Microsoft AppLocker là một giải pháp danh sách trắng phổ biến để cải thiện bảo mật trên PC Windows.

Quản trị viên có thể cải thiện bảo mật hơn nữa bằng cách sử dụng chữ ký để thực thi tính toàn vẹn của mã và tập lệnh. Cái sau được hỗ trợ bởi Windows 10 và windows Server 2016 với Microsoft Device Guard.

Các nhà nghiên cứu bảo mật đã tìm thấy hai khả năng khai thác ứng dụng NVIDIA Web Helper.exe của Nvidia:

  1. Sử dụng Node.js trực tiếp để tương tác với API Windows.
  2. Tải mã thực thi "vào quy trình node.js" để chạy mã độc.

Vì quy trình được ký kết, nó sẽ bỏ qua mọi kiểm tra dựa trên danh tiếng theo mặc định.

Từ quan điểm kẻ tấn công, điều này mở ra hai khả năng. Sử dụng node.js để tương tác trực tiếp với API Windows (ví dụ: vô hiệu hóa danh sách trắng ứng dụng hoặc phản xạ tải một tệp thực thi vào quy trình node.js để chạy nhị phân độc hại thay cho quy trình đã ký) hoặc để viết phần mềm độc hại hoàn chỉnh với nút. js. Cả hai tùy chọn đều có lợi thế là quy trình đang chạy được ký và do đó bỏ qua các hệ thống chống vi-rút (thuật toán dựa trên danh tiếng) theo mặc định.

Cách giải quyết vấn đề

Có lẽ tùy chọn tốt nhất ngay bây giờ là gỡ cài đặt máy khách Nvidia GeForce Experience khỏi hệ điều hành.

Điều đầu tiên bạn có thể muốn làm là đảm bảo rằng một hệ thống dễ bị tấn công. Mở thư mục% ProgramFiles (x86)% \ NVIDIA Corporation \ trên PC Windows và kiểm tra xem thư mục NvNode có tồn tại không.

Nếu có, hãy mở thư mục. Tìm tập tin Nvidia Web Helper.exe trong thư mục.

Nhấp chuột phải vào tệp sau đó và chọn thuộc tính. Khi cửa sổ thuộc tính mở ra, chuyển sang chi tiết. Ở đó bạn sẽ thấy tên tập tin gốc và tên sản phẩm.

Khi bạn đã thiết lập rằng máy chủ Node.js thực sự có trên máy, đã đến lúc xóa nó với điều kiện Nvidia GeForce Experience không bắt buộc.

  1. Bạn có thể sử dụng Bảng điều khiển> Gỡ cài đặt một applet Chương trình cho điều đó hoặc nếu bạn sử dụng Cài đặt Windows 10> Ứng dụng> Ứng dụng & tính năng.
  2. Dù bằng cách nào, Nvidia GeForce Experience được liệt kê dưới dạng một chương trình riêng biệt được cài đặt trên hệ thống.
  3. Gỡ cài đặt chương trình Trải nghiệm Nvidia GeForce khỏi hệ thống của bạn.

Nếu bạn kiểm tra thư mục chương trình sau đó một lần nữa, bạn sẽ thấy rằng toàn bộ thư mục NvNode không còn trên hệ thống.

Đọc ngay : Chặn theo dõi từ xa của Nvidia trên PC Windows