Vulnerabilidad de seguridad de Nvidia GeForce Experience Node.js

Pruebe Nuestro Instrumento Para Eliminar Los Problemas

Sec Consultar investigadores de seguridad descubierto una vulnerabilidad en el software GeForce Experience de Nvidia que permite a los atacantes eludir la lista blanca de aplicaciones de Windows.

GeForce Experience de Nvidia es un programa que Nvidia instala de forma predeterminada en sus paquetes de controladores. El programa, inicialmente diseñado para proporcionar a los usuarios buenas configuraciones para juegos de computadora para que funcionen mejor en los sistemas de los usuarios, ha sido explotado desde entonces por Nvidia.

El software busca actualizaciones de controladores ahora, y puede instalarlas, y hace cumplir el registro antes de que su otra funcionalidad esté disponible.

Lo interesante de esto es que no es necesario para hacer uso de la tarjeta gráfica y que la tarjeta de video funciona igualmente bien sin ella.

Nvidia GeForce Experience instala un servidor node.js en el sistema cuando está instalado. El archivo no se llama node.js, sino NVIDIA Web Helper.exe, y se encuentra en% ProgramFiles (x86)% NVIDIA Corporation NvNode de forma predeterminada.

Nvidia cambió el nombre de Node.js a NVIDIA Web Helper.exe y lo firmó. Lo que esto significa es que Node.js está instalado en la mayoría de los sistemas con tarjetas gráficas Nvidia, considerando que los controladores se instalan automáticamente y no usan la opción de instalación personalizada.

Propina : Instale solo los componentes del controlador de Nvidia que necesita y deshabilitar Nvidia Streamer Services y otros procesos de Nvidia ,

La lista blanca permite a los administradores definir programas y procesos que pueden ejecutarse en un sistema operativo. Microsoft AppLocker es una popular solución de listas blancas para mejorar la seguridad en PC con Windows.

Los administradores pueden mejorar aún más la seguridad mediante el uso de firmas para hacer cumplir el código y la integridad del script. Este último es compatible con Windows 10 y Windows Server 2016 con Microsoft Device Guard por ejemplo.

Los investigadores de seguridad encontraron dos posibilidades para explotar la aplicación NVIDIA Web Helper.exe de Nvidia:

  1. Utilice Node.js directamente para interactuar con las API de Windows.
  2. Cargue el código ejecutable 'en el proceso node.js' para ejecutar código malicioso.

Dado que el proceso está firmado, omitirá cualquier comprobación basada en la reputación de forma predeterminada.

Desde la perspectiva del atacante, esto abre dos posibilidades. Utilice node.js para interactuar directamente con la API de Windows (por ejemplo, para deshabilitar la lista blanca de aplicaciones o cargar de forma reflexiva un ejecutable en el proceso node.js para ejecutar el binario malicioso en nombre del proceso firmado) o para escribir el malware completo con node. js. Ambas opciones tienen la ventaja de que el proceso en ejecución está firmado y, por lo tanto, omite los sistemas antivirus (algoritmos basados ​​en la reputación) de forma predeterminada.

Cómo resolver el problema

Probablemente la mejor opción en este momento es desinstalar el cliente Nvidia GeForce Experience del sistema operativo.

Lo primero que puede querer hacer es asegurarse de que un sistema sea vulnerable. Abra la carpeta% ProgramFiles (x86)% NVIDIA Corporation en la PC con Windows y compruebe si existe el directorio NvNode.

nvnode

Si es así, abra el directorio. Busque el archivo Nvidia Web Helper.exe en el directorio.

nvidia web helper exe

A continuación, haga clic con el botón derecho en el archivo y seleccione propiedades. Cuando se abra la ventana de propiedades, cambie a los detalles. Allí debería ver el nombre del archivo original y el nombre del producto.

node.exe

Una vez que haya establecido que un servidor Node.js está realmente en la máquina, es hora de eliminarlo siempre que no se requiera Nvidia GeForce Experience.

  1. Puede usar Panel de control> Desinstalar un subprograma de programa para eso, o si usa Configuración de Windows 10> Aplicaciones> Aplicaciones y funciones.
  2. De cualquier manera, Nvidia GeForce Experience aparece como un programa separado instalado en el sistema.
  3. Desinstale el programa Nvidia GeForce Experience de su sistema.

Si vuelve a comprobar la carpeta del programa después, notará que toda la carpeta NvNode ya no está en el sistema.

Ahora lee : Bloquear el seguimiento de telemetría de Nvidia en PC con Windows