Nvidia GeForce Experience Node.js安全漏洞
- 类别: 视窗
咨询安全研究人员 发现 Nvidia的GeForce Experience软件中的一个漏洞,攻击者可以利用该漏洞绕过Windows应用程序白名单。
Nvidia的GeForce Experience是Nvidia默认安装在其驱动程序包中的程序。该程序最初旨在为用户提供良好的计算机游戏配置,以便他们在用户系统上更好地运行,此后一直被Nvidia炸毁。
该软件现在检查驱动程序更新,并可以安装它们,并且 强制注册 在其其他功能可用之前。
有趣的是,不需要使用图形卡,没有它,视频卡也可以正常工作。
Nvidia GeForce Experience在安装时会在系统上安装一个node.js服务器。该文件不称为node.js,而是NVIDIA Web Helper.exe,默认情况下位于%ProgramFiles(x86)% NVIDIA Corporation NvNode 下。
Nvidia将Node.js重命名为NVIDIA Web Helper.exe并签名。这意味着在考虑到驱动程序是自动安装且未使用自定义安装选项的情况下,大多数使用Nvidia显卡的系统上都安装了Node.js。
小费 : 仅安装所需的Nvidia驱动程序组件 和 禁用Nvidia Streamer Services和其他Nvidia进程 ,
白名单允许管理员定义可能在操作系统上运行的程序和进程。 Microsoft AppLocker是一种流行的白名单解决方案,可提高Windows PC的安全性。
管理员可以通过使用签名强制执行代码和脚本完整性来进一步提高安全性。 Windows 10和Windows Server 2016支持后者 Microsoft设备防护 例如。
安全研究人员发现了利用Nvidia的NVIDIA Web Helper.exe应用程序的两种可能性:
- 直接使用Node.js与Windows API进行交互。
- 将可执行代码加载到“ node.js进程”中以运行恶意代码。
由于该过程已签名,因此默认情况下它将绕过所有基于信誉的检查。
从攻击者的角度来看,这带来了两种可能性。使用node.js直接与Windows API交互(例如,禁用应用程序白名单或将可执行文件反射性地加载到node.js进程中,以代表签名进程运行恶意二进制文件),或使用node编写完整的恶意软件。 js。这两个选项都具有以下优点:正在运行的进程已签名,因此默认情况下会绕过防病毒系统(基于信誉的算法)。
如何解决问题
目前最好的选择可能是从操作系统中卸载Nvidia GeForce Experience客户端。
您可能要做的第一件事是确保系统易受攻击。在Windows PC上打开文件夹%ProgramFiles(x86)% NVIDIA Corporation ,然后检查目录NvNode是否存在。
如果是这样,请打开目录。在目录中找到文件Nvidia Web Helper.exe。
之后,右键单击该文件,然后选择属性。当属性窗口打开时,切换到详细信息。在那里,您应该看到原始文件名和产品名。
一旦确定机器上确实存在Node.js服务器,就可以将其删除,前提是不需要Nvidia GeForce Experience。
- 您可以为此使用“控制面板”>“卸载程序”小程序,或者使用Windows 10设置>应用程序>应用程序和功能。
- 无论哪种方式,Nvidia GeForce Experience均被列为系统上安装的单独程序。
- 从系统中卸载Nvidia GeForce Experience程序。
如果之后再次检查程序文件夹,则会注意到整个NvNode文件夹不再在系统上。
现在阅读 : 在Windows PC上阻止Nvidia遥测跟踪