Sec Consult güvenlik araştırmacıları, Nvidia'nın GeForce Experience yazılımında, saldırganların Windows uygulama beyaz listesini atlamasına izin veren bir güvenlik açığı olduğunu keşfetti.
Nvidia'nın GeForce Experience, Nvidia'nın sürücü paketlerinde varsayılan olarak yüklediği bir programdır. Kullanıcılara bilgisayar oyunları için iyi yapılandırmalar sağlamak amacıyla, kullanıcı sistemlerinde daha iyi çalışabilmeleri için tasarlanan program o zamandan beri Nvidia tarafından patlatıldı.
Yazılım şimdi sürücü güncellemelerini kontrol eder ve bunları kurabilir ve diğer işlevleri kullanılabilir duruma gelmeden önce kaydı zorlar.
Bunun ilginç olanı, ekran kartını kullanmak için gerekmediği ve ekran kartının onsuz eşit derecede iyi çalıştığıdır.
Nvidia GeForce Experience, kurulduğunda sisteme bir node.js sunucusu kurar. Dosyaya node.js değil, NVIDIA Web Helper.exe adı verilir ve varsayılan olarak% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ altında bulunur.
Nvidia, Node.js'yi NVIDIA Web Helper.exe olarak değiştirdi ve imzaladı. Bunun anlamı, Node.js'nin, Nvidia ekran kartlarına sahip sistemlerin çoğunda, sürücülerin otomatik olarak kurulduğunu ve özel yükleme seçeneğini kullanmayacağını dikkate alarak kurulu olmasıdır.
İpucu : Yalnızca ihtiyacınız olan Nvidia sürücü bileşenlerini kurun ve Nvidia Streamer Services ile diğer Nvidia işlemlerini devre dışı bırakın,
Beyaz liste, yöneticilerin bir işletim sisteminde çalışabilecek programları ve işlemleri tanımlamalarını sağlar. Microsoft AppLocker, Windows PC'lerde güvenliği artırmak için popüler bir beyaz liste çözümüdür.
Yöneticiler, kodu ve komut dosyası bütünlüğünü zorlamak için imzaları kullanarak güvenliği daha da artırabilir. İkincisi, örneğin, Windows 10 ve Windows Server 2016, Microsoft Device Guard ile desteklenir.
Güvenlik araştırmacıları, Nvidia'nın NVIDIA Web Helper.exe uygulamasından yararlanmak için iki olasılık buldu:
- Windows API'lerle etkileşime geçmek için doğrudan Node.js'yi kullanın.
- Kötü amaçlı kodu çalıştırmak için "node.js işlemine" çalıştırılabilir kodunu yükleyin.
İşlem imzalandığından beri, itibar temelli kontrolleri varsayılan olarak atlayacaktır.
Saldırganın bakış açısından, bu iki olasılık açar. Windows API ile doğrudan etkileşimde bulunmak için node.js'yi kullanın (örneğin, uygulamanın beyaz listesini devre dışı bırakmak veya imzalı bir işlem adına kötü amaçlı ikili dosyayı çalıştırmak için node.js işlemine bir yürütülebilir dosyayı yansıtmak için) veya tüm kötü amaçlı yazılımı düğümle yazmak için kullanın. js. Her iki seçeneğin de avantaja sahip olması, çalışan işlemin imzalanması ve bu nedenle varsayılan olarak virüsten koruma sistemlerini (itibar tabanlı algoritmalar) atlamasıdır.
Sorun nasıl çözülür?
Muhtemelen şu an için en iyi seçenek Nvidia GeForce Experience istemcisini işletim sisteminden kaldırmaktır.
Yapmak isteyebileceğiniz ilk şey, bir sistemin savunmasız olduğundan emin olmaktır. Windows PC'de% ProgramFiles (x86)% \ NVIDIA Corporation \ klasörünü açın ve NvNode dizininin var olup olmadığını kontrol edin.
Varsa, dizini açın. Nvidia Web Helper.exe dosyasını dizinde bulun.
Daha sonra dosyaya sağ tıklayın ve özellikleri seçin. Özellikler penceresi açıldığında, ayrıntılara geçin. Orjinal dosya adını ve ürün adını görmelisiniz.
Bir Node.js sunucusunun gerçekten makinede olduğunu belirledikten sonra, Nvidia GeForce Experience gerekli olmadıkça onu kaldırma zamanı gelmiştir.
- Bunun için Denetim Masası> Program Kaldırma uygulamasını veya Windows 10 Ayarlar> Uygulamalar> Uygulamalar ve özellikler kullanıyorsanız kullanabilirsiniz.
- Her iki durumda da, Nvidia GeForce Experience, sistemde yüklü ayrı bir program olarak listelenir.
- Nvidia GeForce Experience programını sisteminizden kaldırın.
Program klasörünü daha sonra tekrar kontrol ederseniz, tüm NvNode klasörünün artık sistemde olmadığını göreceksiniz.
Şimdi Oku : Windows PC'lerde Nvidia Telemetri Takibini Engelle
