Sec Consults penyelidik keselamatan mendapati kelemahan dalam perisian Pengalaman GeForce Nvidia yang membolehkan penyerang memintas senarai putih aplikasi Windows.
Pengalaman GeForce Nvidia adalah program yang dipasang oleh Nvidia secara lalai dalam pakej pemacunya. Program ini, pada mulanya direka untuk menyediakan pengguna dengan konfigurasi yang baik untuk permainan komputer supaya mereka berjalan lebih baik pada sistem pengguna, telah ditiup sejak itu oleh Nvidia.
Perisian memeriksa perkembangan pemacu sekarang, dan boleh memasangnya, dan ia menguatkan pendaftaran sebelum fungsi lain menjadi tersedia.
Apa yang menarik ialah tidak diperlukan untuk menggunakan kad grafik, dan kad video berfungsi dengan baik tanpa ia.
Pengalaman Nvidia GeForce memasang pelayan node.js pada sistem apabila dipasang. Fail ini tidak dipanggil node.js, tetapi NVIDIA Web Helper.exe, dan ia terletak di bawah% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ secara lalai.
Nvidia dinamakan semula Node.js ke NVIDIA Web Helper.exe dan menandatanganinya. Apakah ini bermakna bahawa Node.js dipasang pada majoriti sistem dengan kad grafik Nvidia, memandangkan pemandu dipasang secara automatik dan tidak menggunakan pilihan memasang adat.
Petua : Hanya pasang komponen pemacu Nvidia yang anda perlukan, dan lumpuhkan Perkhidmatan Nvidia Streamer dan proses Nvidia lain,
Whitelisting membolehkan pentadbir untuk menentukan program dan proses yang mungkin berjalan pada sistem operasi. Microsoft AppLocker adalah penyelesaian senarai putih popular untuk meningkatkan keselamatan pada Windows PC.
Pentadbir boleh meningkatkan keselamatan dengan menggunakan tandatangan untuk menguatkuasakan kod dan integriti skrip. Yang terakhir ini disokong oleh Windows 10 dan windows Server 2016 dengan Microsoft Device Guard misalnya.
Para penyelidik keselamatan mendapati dua kemungkinan untuk mengeksploitasi aplikasi NVIDIA Web Helper.exe Nvidia:
- Gunakan Node.js secara langsung untuk berinteraksi dengan API Windows.
- Muatkan kod boleh laku "ke dalam proses node.js" untuk menjalankan kod berniat jahat.
Oleh kerana proses ditandatangani, ia akan memintas mana-mana cek berasaskan reputasi secara lalai.
Dari perspektif penyerang, ini membuka dua kemungkinan. Sama ada menggunakan node.js untuk terus berinteraksi dengan API Windows (cth. Untuk melumpuhkan pemakaian putih putih atau mencerminkan beban executable ke dalam proses node.js untuk menjalankan binari berniat jahat bagi pihak proses yang ditandatangani) atau untuk menulis malware lengkap dengan nod. js. Kedua-dua pilihan mempunyai kelebihan, bahawa proses berjalan ditandatangani dan oleh itu memintas sistem anti-virus (algoritma berasaskan reputasi) secara lalai.
Bagaimana menyelesaikan isu ini
Mungkin pilihan terbaik sekarang ialah menyahpasang pelanggan Pengalaman Nvidia GeForce dari sistem operasi.
Perkara pertama yang anda mungkin ingin lakukan adalah memastikan bahawa sistem terdedah. Buka folder% ProgramFiles (x86)% \ NVIDIA Corporation \ pada PC Windows dan semak apakah direktori NvNode ada.
Sekiranya ia, buka direktori itu. Cari fail Nvidia Web Helper.exe dalam direktori.
Klik kanan pada fail selepas itu, dan pilih sifat. Apabila tetingkap sifat dibuka, beralih kepada butiran. Di sana anda akan melihat nama fail asal dan nama produk.
Sebaik sahaja anda telah menetapkan bahawa pelayan Node.js sebenarnya pada mesin, sudah tiba masanya untuk mengalih keluarnya dengan syarat Pengalaman Nvidia GeForce tidak diperlukan.
- Anda boleh menggunakan Panel Kawalan> Uninstall applet Program untuk itu, atau jika anda menggunakan Windows 10 Settings> Apps> Apps & features.
- Sama ada cara, Pengalaman Nvidia GeForce disenaraikan sebagai program berasingan yang dipasang pada sistem.
- Nyahpasang program Pengalaman Nvidia GeForce dari sistem anda.
Jika anda menyemak folder program selepas itu lagi, anda akan melihat bahawa keseluruhan folder NvNode tidak lagi dalam sistem.
Sekarang Baca : Blok Nvidia Telemetry Tracking pada Windows PC
