Los investigadores de seguridad de Sec Consult descubrieron una vulnerabilidad en el software GeForce Experience de Nvidia que permite a los atacantes eludir la lista blanca de aplicaciones de Windows.
La experiencia GeForce de Nvidia es un programa que Nvidia instala por defecto en sus paquetes de controladores. El programa, inicialmente diseñado para proporcionar a los usuarios buenas configuraciones para juegos de computadora para que funcionen mejor en los sistemas de los usuarios, ha sido volado desde entonces por Nvidia.
El software busca actualizaciones de controladores ahora, y puede instalarlas, y exige el registro antes de que su otra funcionalidad esté disponible.
Lo interesante de esto es que no es necesario para hacer uso de la tarjeta gráfica, y que la tarjeta de video funciona igualmente bien sin ella.
Nvidia GeForce Experience instala un servidor node.js en el sistema cuando está instalado. El archivo no se llama node.js, sino NVIDIA Web Helper.exe, y se encuentra en% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ de forma predeterminada.
Nvidia renombró Node.js a NVIDIA Web Helper.exe y lo firmó. Lo que esto significa es que Node.js está instalado en la mayoría de los sistemas con tarjetas gráficas Nvidia, teniendo en cuenta que los controladores se instalan automáticamente y no utilizan la opción de instalación personalizada.
Consejo : solo instale los componentes del controlador de Nvidia que necesite y desactive los servicios de Nvidia Streamer y otros procesos de Nvidia,
La lista blanca permite a los administradores definir programas y procesos que pueden ejecutarse en un sistema operativo. Microsoft AppLocker es una solución de lista blanca popular para mejorar la seguridad en PC con Windows.
Los administradores pueden mejorar aún más la seguridad mediante el uso de firmas para hacer cumplir la integridad del código y el script. Este último es compatible con Windows 10 y Windows Server 2016 con Microsoft Device Guard, por ejemplo.
Los investigadores de seguridad encontraron dos posibilidades para explotar la aplicación NVIDIA Web Helper.exe de Nvidia:
- Use Node.js directamente para interactuar con las API de Windows.
- Cargue el código ejecutable "en el proceso node.js" para ejecutar código malicioso.
Como el proceso está firmado, omitirá cualquier verificación basada en la reputación de forma predeterminada.
Desde la perspectiva del atacante, esto abre dos posibilidades. Utilice node.js para interactuar directamente con la API de Windows (por ejemplo, para deshabilitar la lista blanca de aplicaciones o cargar de forma reflexiva un ejecutable en el proceso node.js para ejecutar el binario malicioso en nombre del proceso firmado) o para escribir el malware completo con node. js. Ambas opciones tienen la ventaja de que el proceso de ejecución está firmado y, por lo tanto, omite los sistemas antivirus (algoritmos basados en reputación) por defecto.
Cómo resolver el problema
Probablemente la mejor opción en este momento es desinstalar el cliente Nvidia GeForce Experience del sistema operativo.
Lo primero que debe hacer es asegurarse de que un sistema sea vulnerable. Abra la carpeta% ProgramFiles (x86)% \ NVIDIA Corporation \ en la PC con Windows y compruebe si existe el directorio NvNode.
Si es así, abra el directorio. Busque el archivo Nvidia Web Helper.exe en el directorio
Luego haga clic derecho en el archivo y seleccione propiedades. Cuando se abra la ventana de propiedades, cambie a detalles. Allí debería ver el nombre del archivo original y el nombre del producto.
Una vez que haya establecido que un servidor Node.js está realmente en la máquina, es hora de eliminarlo siempre que no se requiera Nvidia GeForce Experience.
- Puede usar el Panel de control> Desinstalar un applet de programa para eso, o si usa Configuración de Windows 10> Aplicaciones> Aplicaciones y características.
- De cualquier manera, Nvidia GeForce Experience aparece como un programa separado instalado en el sistema.
- Desinstale el programa Nvidia GeForce Experience de su sistema.
Si vuelve a comprobar la carpeta del programa más tarde, notará que toda la carpeta NvNode ya no está en el sistema.
Ahora lea : Bloquee el seguimiento de telemetría de Nvidia en PC con Windows
