Nvidia GeForce Experience Node.js 보안 취약성

Sec Consult 보안 연구원은 공격자가 Windows 응용 프로그램 화이트리스트를 우회 할 수있게하는 Nvidia의 GeForce Experience 소프트웨어의 취약점을 발견했습니다.

Nvidia의 GeForce Experience는 기본적으로 드라이버 패키지에 Nvidia가 설치하는 프로그램입니다. Nvidia는 처음에 컴퓨터 게임에 대한 우수한 구성을 제공하여 사용자 시스템에서 더 잘 실행되도록 설계된이 프로그램을 그 이후로 발전 시켰습니다.

소프트웨어가 드라이버 업데이트를 지금 확인하여 업데이트를 설치 한 후 다른 기능을 사용할 수있게되기 전에 등록을 시행합니다.

흥미로운 점은 그래픽 카드를 사용할 때 필요하지 않으며 비디오 카드가 없어도 비디오 카드가 동일하게 작동한다는 것입니다.

Nvidia GeForce Experience는 설치된 시스템에 node.js 서버를 설치합니다. 이 파일은 node.js가 아니라 NVIDIA Web Helper.exe이며 기본적으로 % ProgramFiles (x86) % \ NVIDIA Corporation \ NvNode \에 있습니다.

Nvidia는 Node.js의 이름을 NVIDIA Web Helper.exe로 바꾸고 서명했습니다. 이는 사용자 정의 설치 옵션을 사용하지 않고 드라이버가 자동으로 설치된다는 점을 고려하여 Nvidia 그래픽 카드가있는 대부분의 시스템에 Node.js가 설치되어 있음을 의미합니다.

팁 : 필요한 Nvidia 드라이버 구성 요소 만 설치하고 Nvidia Streamer Services 및 기타 Nvidia 프로세스를 비활성화하십시오.

화이트리스트를 통해 관리자는 운영 체제에서 실행될 수있는 프로그램 및 프로세스를 정의 할 수 있습니다. Microsoft AppLocker는 Windows PC의 보안을 향상시키는 인기있는 화이트리스트 솔루션입니다.

관리자는 서명을 사용하여 코드 및 스크립트 무결성을 강화함으로써 보안을 더욱 향상시킬 수 있습니다. 후자는 Microsoft Device Guard가 포함 된 Windows 10 및 Windows Server 2016에서 지원됩니다.

보안 연구원은 Nvidia의 NVIDIA Web Helper.exe 응용 프로그램을 활용할 수있는 두 가지 가능성을 발견했습니다.

Node.js를 직접 사용하여 Windows API와 상호 작용하십시오.
악성 코드를 실행하려면 "node.js 프로세스에 실행 코드"를로드하십시오.

프로세스가 서명되었으므로 기본적으로 평판 기반 검사를 생략합니다.

공격자의 관점에서 볼 때 이것은 두 가지 가능성을 열어줍니다. node.js를 사용하여 Windows API와 직접 상호 작용하거나 (예 : 응용 프로그램 허용 목록을 비활성화하거나 서명 된 프로세스 대신 악성 바이너리를 실행하기 위해 실행 파일을 node.js 프로세스에 반사적으로로드) node로 완전한 맬웨어를 작성하십시오. js. 두 옵션 모두 실행 프로세스가 서명되므로 기본적으로 안티 바이러스 시스템 (평판 기반 알고리즘)을 우회한다는 장점이 있습니다.