Kerentanan keamanan Nvidia GeForce Experience Node.js
- Kategori: Windows
Konsultasikan dengan peneliti keamanan ditemukan kerentanan dalam perangkat lunak GeForce Experience Nvidia yang memungkinkan penyerang melewati daftar putih aplikasi Windows.
GeForce Experience Nvidia adalah program yang diinstal Nvidia secara default di paket drivernya. Program, awalnya dirancang untuk menyediakan pengguna dengan konfigurasi yang baik untuk permainan komputer sehingga mereka berjalan lebih baik pada sistem pengguna, telah diledakkan sejak saat itu oleh Nvidia.
Perangkat lunak memeriksa pembaruan driver sekarang, dan mungkin menginstalnya, dan itu memberlakukan pendaftaran sebelum fungsi lainnya tersedia.
Yang menarik tentang itu adalah bahwa itu tidak diperlukan untuk menggunakan kartu grafis, dan bahwa kartu video bekerja dengan baik tanpa itu.
Nvidia GeForce Experience menginstal server node.js pada sistem saat diinstal. File tersebut tidak disebut node.js, tetapi NVIDIA Web Helper.exe, dan terletak di bawah% ProgramFiles (x86)% NVIDIA Corporation NvNode secara default.
Nvidia mengganti nama Node.js menjadi NVIDIA Web Helper.exe dan menandatanganinya. Artinya, Node.js diinstal pada sebagian besar sistem dengan kartu grafis Nvidia, mengingat driver diinstal secara otomatis dan tidak menggunakan opsi instal kustom.
Tip : Instal hanya komponen driver Nvidia yang Anda perlukan , dan nonaktifkan Layanan Nvidia Streamer dan proses Nvidia lainnya ,
Daftar putih memungkinkan administrator untuk menentukan program dan proses yang dapat berjalan pada sistem operasi. Microsoft AppLocker adalah solusi daftar putih yang populer untuk meningkatkan keamanan pada PC Windows.
Administrator dapat meningkatkan keamanan lebih lanjut dengan menggunakan tanda tangan untuk menegakkan kode dan integritas skrip. Yang terakhir ini didukung oleh Windows 10 dan windows Server 2016 dengan Microsoft Device Guard misalnya.
Para peneliti keamanan menemukan dua kemungkinan untuk mengeksploitasi aplikasi NVIDIA Web Helper.exe Nvidia:
- Gunakan Node.js secara langsung untuk berinteraksi dengan API Windows.
- Muat kode yang dapat dieksekusi 'ke dalam proses node.js' untuk menjalankan kode berbahaya.
Karena prosesnya ditandatangani, ini akan melewati pemeriksaan berbasis reputasi secara default.
Dari perspektif penyerang, ini membuka dua kemungkinan. Gunakan node.js untuk berinteraksi langsung dengan Windows API (misalnya untuk menonaktifkan aplikasi yang masuk daftar putih atau secara reflektif memuat eksekusi ke dalam proses node.js untuk menjalankan biner berbahaya atas nama proses yang ditandatangani) atau untuk menulis malware lengkap dengan node. js. Kedua opsi memiliki keuntungan, bahwa proses yang berjalan ditandatangani dan oleh karena itu melewati sistem anti-virus (algoritme berbasis reputasi) secara default.
Bagaimana mengatasi masalah tersebut
Mungkin opsi terbaik saat ini adalah mencopot pemasangan klien Nvidia GeForce Experience dari sistem operasi.
Hal pertama yang mungkin ingin Anda lakukan adalah memastikan bahwa suatu sistem rentan. Buka folder% ProgramFiles (x86)% NVIDIA Corporation di PC Windows dan periksa apakah direktori NvNode ada.
Jika ya, buka direktori. Temukan file Nvidia Web Helper.exe di direktori.
Klik kanan pada file tersebut setelahnya, dan pilih properti. Saat jendela properti terbuka, alihkan ke detail. Di sana Anda akan melihat nama file asli dan nama produk.
Setelah Anda menetapkan bahwa server Node.js memang ada di mesin, sekarang saatnya untuk menghapusnya asalkan Nvidia GeForce Experience tidak diperlukan.
- Anda dapat menggunakan Panel Kontrol> Copot Pemasangan applet Program untuk itu, atau jika Anda menggunakan Pengaturan Windows 10> Aplikasi> Aplikasi & fitur.
- Apa pun itu, Nvidia GeForce Experience terdaftar sebagai program terpisah yang diinstal pada sistem.
- Copot program Nvidia GeForce Experience dari sistem Anda.
Jika Anda memeriksa folder program setelahnya lagi, Anda akan melihat bahwa seluruh folder NvNode tidak lagi ada di sistem.
Sekarang baca : Blokir Pelacakan Telemetri Nvidia di PC Windows