Les chercheurs en sécurité de Sec Consult ont découvert une vulnérabilité dans le logiciel GeForce Experience de Nvidia qui permet aux attaquants de contourner la liste blanche d'applications Windows.
GeForce Experience de Nvidia est un programme que Nvidia installe par défaut dans ses packages de pilotes. Le programme, initialement conçu pour fournir aux utilisateurs de bonnes configurations pour les jeux informatiques afin de mieux fonctionner sur leurs systèmes, a été développé depuis par Nvidia.
Le logiciel vérifie maintenant les mises à jour de pilotes et peut les installer. Il impose l'enregistrement avant que ses autres fonctionnalités ne deviennent disponibles.
Ce qui est intéressant, c’est que cela n’est pas nécessaire pour utiliser la carte graphique et que la carte vidéo fonctionne tout aussi bien sans cela.
Nvidia GeForce Experience installe un serveur node.js sur le système lors de son installation. Le fichier ne s'appelle pas node.js, mais NVIDIA Web Helper.exe. Il se trouve par défaut sous% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \.
Nvidia a renommé Node.js en NVIDIA Web Helper.exe et l'a signé. Cela signifie que Node.js est installé sur la majorité des systèmes dotés de cartes graphiques Nvidia, étant donné que les pilotes sont installés automatiquement et n'utilisent pas l'option d'installation personnalisée.
Conseil : N'installez que les composants de pilote Nvidia dont vous avez besoin et désactivez les services Nvidia Streamer et les autres processus Nvidia.
La liste blanche permet aux administrateurs de définir des programmes et des processus pouvant s'exécuter sur un système d'exploitation. Microsoft AppLocker est une solution populaire de liste blanche pour améliorer la sécurité sur les PC Windows.
Les administrateurs peuvent améliorer davantage la sécurité en utilisant des signatures pour appliquer le code et l'intégrité du script. Ce dernier est pris en charge par Windows 10 et Windows Server 2016 avec Microsoft Device Guard, par exemple.
Les chercheurs en sécurité ont découvert deux possibilités pour exploiter l'application NVIDIA Web Helper.exe de Nvidia:
- Utilisez Node.js directement pour interagir avec les API Windows.
- Chargez le code exécutable "dans le processus node.js" pour exécuter du code malveillant.
Étant donné que le processus est signé, il ignorera toutes les vérifications basées sur la réputation par défaut.
Du point de vue de l'attaquant, cela ouvre deux possibilités. Utilisez node.js pour interagir directement avec l’API Windows (par exemple, pour désactiver la liste blanche d’applications ou pour charger de manière réfléchie un exécutable dans le processus node.js afin d’exécuter le fichier binaire malveillant pour le compte du processus signé) ou pour écrire le programme malveillant complet avec noeud. js. Les deux options présentent l'avantage que le processus en cours d'exécution est signé et contourne par conséquent les systèmes antivirus (algorithmes basés sur la réputation) par défaut.
Comment résoudre le problème
À l'heure actuelle, la meilleure option est probablement de désinstaller le client Nvidia GeForce Experience du système d'exploitation.
La première chose à faire est de s’assurer que le système est vulnérable. Ouvrez le dossier% ProgramFiles (x86)% \ NVIDIA Corporation \ sur le PC Windows et vérifiez si le répertoire NvNode existe.
Si c'est le cas, ouvrez le répertoire. Recherchez le fichier Nvidia Web Helper.exe dans le répertoire.
Cliquez ensuite sur le fichier avec le bouton droit de la souris et sélectionnez Propriétés. Lorsque la fenêtre de propriétés s'ouvre, passez aux détails. Là, vous devriez voir le nom du fichier original et le nom du produit.
Une fois que vous avez établi qu'un serveur Node.js est bien sur la machine, il est temps de le supprimer, à condition que Nvidia GeForce Experience ne soit pas requis.
- Vous pouvez utiliser le Panneau de configuration> Désinstaller un applet de programme pour cela, ou si vous utilisez Windows 10 Paramètres> Applications> Applications et fonctionnalités.
- Quoi qu'il en soit, Nvidia GeForce Experience est répertorié en tant que programme distinct installé sur le système.
- Désinstallez le programme Nvidia GeForce Experience de votre système.
Si vous vérifiez à nouveau le dossier du programme par la suite, vous remarquerez que tout le dossier NvNode ne se trouve plus sur le système.
Maintenant lu : Bloquer le suivi de la télémétrie Nvidia sur les ordinateurs Windows
