Sec Consultのセキュリティ研究者は、NvidiaのGeForce Experienceソフトウェアに、攻撃者がWindowsアプリケーションのホワイトリスト登録を回避できる脆弱性を発見しました。
NvidiaのGeForce Experienceは、Nvidiaがデフォルトでドライバーパッケージにインストールするプログラムです。 このプログラムは、当初はユーザーシステム上でより適切に動作するようにコンピューターゲームの適切な構成をユーザーに提供するように設計されていましたが、それ以来Nvidiaによって爆破されました。
ソフトウェアはドライバの更新を今すぐチェックし、それらをインストールする場合があり、他の機能が利用可能になる前に登録を実施します。
面白いのは、グラフィックカードを使用するために必要ではないことと、ビデオカードがそれなしでも同等に機能することです。
Nvidia GeForce Experienceは、インストール時にシステムにnode.jsサーバーをインストールします。 このファイルはnode.jsではなく、NVIDIA Web Helper.exeと呼ばれ、デフォルトで%ProgramFiles(x86)%\ NVIDIA Corporation \ NvNode \の下にあります。
NvidiaはNode.jsの名前をNVIDIA Web Helper.exeに変更し、署名しました。 これは、ドライバーが自動的にインストールされ、カスタムインストールオプションを使用しないことを考慮して、Nvidiaグラフィックカードを搭載したシステムの大部分にNode.jsがインストールされることを意味します。
ヒント :必要なNvidiaドライバーコンポーネントのみをインストールし、Nvidia Streamer Servicesおよびその他のNvidiaプロセスを無効にします。
ホワイトリストを使用すると、管理者はオペレーティングシステムで実行できるプログラムとプロセスを定義できます。 Microsoft AppLockerは、Windows PCのセキュリティを向上させるための一般的なホワイトリストソリューションです。
管理者は、署名を使用してコードとスクリプトの整合性を強化することにより、セキュリティをさらに向上させることができます。 後者は、たとえばMicrosoft Device Guardを搭載したWindows 10およびWindows Server 2016でサポートされています。
セキュリティ研究者は、NvidiaのNVIDIA Web Helper.exeアプリケーションを悪用する2つの可能性を発見しました。
- Node.jsを直接使用して、Windows APIと対話します。
- 悪意のあるコードを実行するには、「node.jsプロセスに」実行可能コードをロードします。
プロセスは署名されているため、デフォルトでレピュテーションベースのチェックをバイパスします。
攻撃者の観点から、これは2つの可能性を開きます。 node.jsを使用してWindows APIと直接対話する(たとえば、アプリケーションのホワイトリストを無効にするか、node.jsプロセスに実行可能ファイルをリフレクティブにロードして、署名されたプロセスに代わって悪意のあるバイナリを実行する)か、完全なマルウェアをノードに書き込みます。 js。 両方のオプションには、実行中のプロセスが署名されているため、デフォルトでアンチウイルスシステム(評判ベースのアルゴリズム)をバイパスするという利点があります。
問題を解決する方法
おそらく、現時点で最適なオプションは、オペレーティングシステムからNvidia GeForce Experienceクライアントをアンインストールすることです。
最初にしたいことは、システムが脆弱であることを確認することです。 Windows PCのフォルダ%ProgramFiles(x86)%\ NVIDIA Corporation \を開き、ディレクトリNvNodeが存在するかどうかを確認します。
存在する場合は、ディレクトリを開きます。 ディレクトリでNvidia Web Helper.exeファイルを見つけます。
その後、ファイルを右クリックして、プロパティを選択します。 プロパティウィンドウが開いたら、詳細に切り替えます。 そこに元のファイル名と製品名が表示されます。
Node.jsサーバーが実際にマシン上にあることを確認したら、Nvidia GeForce Experienceが不要であれば、それを削除します。
- そのためには、[コントロールパネル]> [プログラムのアンインストール]アプレットを使用するか、Windows 10の[設定]> [アプリ]> [アプリと機能]を使用します。
- いずれにせよ、Nvidia GeForce Experienceは、システムにインストールされた別個のプログラムとしてリストされます。
- システムからNvidia GeForce Experienceプログラムをアンインストールします。
その後、プログラムフォルダーを再度確認すると、NvNodeフォルダー全体がシステム上になくなっていることがわかります。
今すぐ読む :Windows PCでNvidia Telemetry Trackingをブロックする