นักวิจัยด้านความปลอดภัยของ Sec Consult ค้นพบช่องโหว่ในซอฟต์แวร์ GeForce Experience ของ Nvidia ที่ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงรายการที่อนุญาตของ Windows
GeForce Experience ของ Nvidia เป็นโปรแกรมที่ Nvidia ติดตั้งตามค่าเริ่มต้นในแพ็คเกจไดรเวอร์ โปรแกรมแรกเริ่มออกแบบมาเพื่อให้ผู้ใช้มีการกำหนดค่าที่ดีสำหรับเกมคอมพิวเตอร์เพื่อให้พวกเขาทำงานได้ดีขึ้นในระบบของผู้ใช้ได้ถูกพัดมาตั้งแต่นั้นมาโดย Nvidia
ซอฟต์แวร์จะตรวจสอบการอัปเดตไดรเวอร์ตอนนี้และอาจติดตั้งและทำการลงทะเบียนก่อนที่จะมีฟังก์ชั่นอื่น ๆ
สิ่งที่น่าสนใจคือมันไม่จำเป็นสำหรับการใช้งานการ์ดแสดงผลและการ์ดแสดงผลทำงานได้ดีอย่างเท่าเทียมกันหากไม่มี
Nvidia GeForce Experience ติดตั้งเซิร์ฟเวอร์ node.js บนระบบเมื่อติดตั้ง ไฟล์นี้ไม่ได้ชื่อว่า node.js แต่เป็น NVIDIA Web Helper.exe และอยู่ภายใต้% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ โดยค่าเริ่มต้น
Nvidia เปลี่ยนชื่อ Node.js เป็น NVIDIA Web Helper.exe และลงนาม สิ่งนี้หมายความว่ามีการติดตั้ง Node.js บนระบบส่วนใหญ่ที่มีการ์ดกราฟิก Nvidia โดยพิจารณาว่ามีการติดตั้งไดรเวอร์โดยอัตโนมัติและไม่ได้ใช้ตัวเลือกการติดตั้งแบบกำหนดเอง
คำแนะนำ : ติดตั้งเฉพาะไดรเวอร์ของ Nvidia ที่คุณต้องการและปิดการใช้งาน Nvidia Streamer Services และกระบวนการ Nvidia อื่น ๆ
การอนุญาตพิเศษอนุญาตให้ผู้ดูแลระบบกำหนดโปรแกรมและกระบวนการที่อาจทำงานบนระบบปฏิบัติการ Microsoft AppLocker เป็นโซลูชันที่ได้รับความนิยมในการปรับปรุงความปลอดภัยบนพีซี Windows
ผู้ดูแลระบบอาจปรับปรุงความปลอดภัยเพิ่มเติมโดยใช้ลายเซ็นเพื่อบังคับใช้รหัสและความสมบูรณ์ของสคริปต์ หลังได้รับการสนับสนุนโดย Windows 10 และ windows Server 2016 ด้วย Microsoft Device Guard เช่น
นักวิจัยด้านความปลอดภัยพบว่ามีความเป็นไปได้สองทางในการใช้ประโยชน์จากแอปพลิเคชัน NVIDIA Web Helper.exe ของ Nvidia:
- ใช้ Node.js โดยตรงเพื่อโต้ตอบกับ Windows API
- โหลดรหัสที่สามารถใช้งานได้ "ในกระบวนการ node.js" เพื่อเรียกใช้รหัสที่เป็นอันตราย
ตั้งแต่กระบวนการลงชื่อแล้วมันจะข้ามการตรวจสอบตามชื่อเสียงใด ๆ ตามค่าเริ่มต้น
จากมุมมองของผู้โจมตีนี่เป็นการเปิดโอกาสสองทาง ใช้ node.js เพื่อโต้ตอบโดยตรงกับ Windows API (เช่นปิดใช้งานรายการที่อนุญาตพิเศษหรือโหลดโปรแกรมปฏิบัติการลงในกระบวนการ node.js เพื่อรันไบนารีที่เป็นอันตรายในนามของกระบวนการที่ลงนาม) หรือเขียนมัลแวร์ที่สมบูรณ์กับโหนด js ตัวเลือกทั้งสองมีข้อดีคือกระบวนการที่ลงนามแล้วจึงข้ามระบบป้องกันไวรัส (อัลกอริธึมตามชื่อเสียง) ต่อค่าเริ่มต้น
วิธีแก้ไขปัญหา
อาจเป็นตัวเลือกที่ดีที่สุดในขณะนี้คือการถอนการติดตั้งไคลเอนต์ Nvidia GeForce Experience จากระบบปฏิบัติการ
สิ่งแรกที่คุณอาจต้องทำคือตรวจสอบให้แน่ใจว่าระบบมีช่องโหว่ เปิดโฟลเดอร์% ProgramFiles (x86)% \ NVIDIA Corporation \ บน Windows PC และตรวจสอบว่ามีไดเรกทอรี NvNode อยู่หรือไม่
ถ้าเป็นเช่นนั้นให้เปิดไดเรกทอรี ค้นหาไฟล์ Nvidia Web Helper.exe ในไดเรกทอรี
คลิกขวาที่ไฟล์หลังจากนั้นเลือกคุณสมบัติ เมื่อหน้าต่างคุณสมบัติเปิดขึ้นให้เปลี่ยนเป็นรายละเอียด ที่นั่นคุณควรเห็นชื่อไฟล์ดั้งเดิมและชื่อผลิตภัณฑ์
เมื่อคุณยอมรับว่าเซิร์ฟเวอร์ Node.js นั้นอยู่ในเครื่องเป็นเวลาที่จะลบออกหากว่าไม่จำเป็นต้องใช้ Nvidia GeForce Experience
- คุณสามารถใช้แผงควบคุม> ถอนการติดตั้งแอปเพล็ตโปรแกรมสำหรับสิ่งนั้นหรือหากคุณใช้การตั้งค่า Windows 10> แอพ> แอพและคุณสมบัติ
- ไม่ว่าจะด้วยวิธีใด Nvidia GeForce Experience จะแสดงรายการเป็นโปรแกรมแยกต่างหากที่ติดตั้งในระบบ
- ถอนการติดตั้งโปรแกรม Nvidia GeForce Experience ออกจากระบบของคุณ
หากคุณตรวจสอบโฟลเดอร์โปรแกรมหลังจากนั้นอีกครั้งคุณจะสังเกตเห็นว่าโฟลเดอร์ NvNode ทั้งหมดไม่ได้อยู่ในระบบอีกต่อไป
ตอนนี้อ่าน : บล็อกการติดตาม Telemetry ของ Nvidia บนพีซี Windows