Vulnerabilidade de segurança Nvidia GeForce Experience Node.js

Os pesquisadores de segurança da Sec Consult descobriram uma vulnerabilidade no software GeForce Experience da Nvidia que permite que os invasores ignorem a lista de permissões de aplicativos do Windows.

O GeForce Experience da Nvidia é um programa que a Nvidia instala por padrão em seus pacotes de drivers. O programa, inicialmente desenvolvido para fornecer aos usuários boas configurações de jogos de computador para que funcionem melhor nos sistemas de usuários, foi ampliado desde então pela Nvidia.

O software verifica se há atualizações de driver agora, pode instalá-las e aplica o registro antes que sua outra funcionalidade fique disponível.

O interessante é que ela não é necessária para o uso da placa de vídeo e que a placa de vídeo funciona igualmente bem sem ela.

A Nvidia GeForce Experience instala um servidor node.js no sistema quando ele é instalado. O arquivo não é chamado node.js, mas o NVIDIA Web Helper.exe e está localizado em% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ por padrão.

A Nvidia renomeou o Node.js para NVIDIA Web Helper.exe e o assinou. O que isso significa é que o Node.js é instalado na maioria dos sistemas com placas gráficas da Nvidia, considerando que os drivers são instalados automaticamente e não usando a opção de instalação personalizada.

Dica : instale apenas os componentes do driver da Nvidia necessários e desative o Nvidia Streamer Services e outros processos da Nvidia,

A lista de permissões permite que os administradores definam programas e processos que podem ser executados em um sistema operacional. O Microsoft AppLocker é uma solução popular de lista de permissões para melhorar a segurança nos PCs com Windows.

Os administradores podem melhorar ainda mais a segurança usando assinaturas para impor a integridade do código e do script. O último é suportado pelo Windows 10 e pelo Windows Server 2016 com Microsoft Device Guard, por exemplo.

Os pesquisadores de segurança encontraram duas possibilidades para explorar o aplicativo NVIDIA Web Helper.exe da Nvidia:

  1. Use o Node.js diretamente para interagir com as APIs do Windows.
  2. Carregue o código executável "no processo node.js." para executar o código malicioso.

Como o processo é assinado, ele ignora qualquer verificação baseada em reputação por padrão.

Do ponto de vista do invasor, isso abre duas possibilidades. Use o node.js para interagir diretamente com a API do Windows (por exemplo, para desativar a lista de permissões do aplicativo ou carregar reflexivamente um executável no processo node.js. para executar o binário malicioso em nome do processo assinado) ou para escrever o malware completo com o nó. js. Ambas as opções têm a vantagem de que o processo em execução é assinado e, portanto, ignora os sistemas antivírus (algoritmos baseados em reputação) por padrão.

Como resolver o problema

Provavelmente, a melhor opção agora é desinstalar o cliente Nvidia GeForce Experience do sistema operacional.

A primeira coisa que você pode querer fazer é garantir que um sistema esteja vulnerável. Abra a pasta% ProgramFiles (x86)% \ NVIDIA Corporation \ no PC com Windows e verifique se o diretório NvNode existe.

Se houver, abra o diretório Encontre o arquivo Nvidia Web Helper.exe no diretório

Clique com o botão direito do mouse no arquivo depois e selecione Propriedades. Quando a janela de propriedades abrir, mude para os detalhes. Lá você deve ver o nome do arquivo original e o nome do produto.

Depois de estabelecer que um servidor Node.js está realmente na máquina, é hora de removê-lo, desde que o Nvidia GeForce Experience não seja necessário.

  1. Você pode usar o Painel de controle> Desinstalar um applet de programa para isso ou se você usar Configurações do Windows 10> Aplicativos> Aplicativos e recursos.
  2. De qualquer forma, o Nvidia GeForce Experience está listado como um programa separado instalado no sistema.
  3. Desinstale o programa Nvidia GeForce Experience do seu sistema.

Se você verificar novamente a pasta do programa, notará que a pasta NvNode inteira não está mais no sistema.

Leia agora : Bloquear o rastreamento de telemetria da Nvidia em PCs com Windows