Sec Consult peneliti keamanan menemukan kerentanan dalam perangkat lunak Nvidia's GeForce Experience yang memungkinkan penyerang untuk memotong daftar putih aplikasi Windows.
Nvidia's GeForce Experience adalah program yang diinstal Nvidia secara default dalam paket drivernya. Program, yang awalnya dirancang untuk memberikan pengguna dengan konfigurasi yang baik untuk permainan komputer sehingga mereka berjalan lebih baik pada sistem pengguna, telah diledakkan sejak saat itu oleh Nvidia.
Perangkat lunak memeriksa pembaruan driver sekarang, dan dapat menginstalnya, dan memberlakukan pendaftaran sebelum fungsi lainnya tersedia.
Yang menarik tentang itu adalah tidak diperlukan untuk menggunakan kartu grafis, dan bahwa kartu video berfungsi dengan baik tanpa itu.
Nvidia GeForce Experience menginstal server node.js pada sistem ketika diinstal. File tidak disebut node.js, tetapi NVIDIA Web Helper.exe, dan terletak di bawah% ProgramFiles (x86)% \ NVIDIA Corporation \ NvNode \ secara default.
Nvidia mengubah nama Node.js menjadi NVIDIA Web Helper.exe dan menandatanganinya. Ini artinya Node.js diinstal pada sebagian besar sistem dengan kartu grafis Nvidia, mengingat driver diinstal secara otomatis dan tidak menggunakan opsi pemasangan kustom.
Tip : Hanya instal komponen driver Nvidia yang Anda butuhkan, dan nonaktifkan Nvidia Streamer Services dan proses Nvidia lainnya,
Daftar putih memungkinkan administrator untuk menentukan program dan proses yang dapat berjalan pada sistem operasi. Microsoft AppLocker adalah solusi daftar putih populer untuk meningkatkan keamanan pada PC Windows.
Administrator dapat meningkatkan keamanan lebih lanjut dengan menggunakan tanda tangan untuk menegakkan integritas kode dan skrip. Yang terakhir ini didukung oleh Windows 10 dan windows Server 2016 dengan Microsoft Device Guard misalnya.
Para peneliti keamanan menemukan dua kemungkinan untuk mengeksploitasi aplikasi NVIDIA Web Helper.exe Nvidia:
- Gunakan Node.js secara langsung untuk berinteraksi dengan Windows API.
- Muat kode yang dapat dieksekusi "ke dalam proses node.js" untuk menjalankan kode berbahaya.
Karena proses ini ditandatangani, maka akan melewati pemeriksaan berbasis reputasi apa pun secara default.
Dari perspektif penyerang, ini membuka dua kemungkinan. Baik menggunakan node.js untuk langsung berinteraksi dengan Windows API (misalnya untuk menonaktifkan daftar putih aplikasi atau memuat secara executable ke dalam proses node.js untuk menjalankan biner berbahaya atas nama proses yang ditandatangani) atau untuk menulis malware lengkap dengan node. js. Kedua opsi memiliki keunggulan, bahwa proses yang berjalan ditandatangani dan karenanya mem-bypass sistem anti-virus (algoritma berbasis reputasi) per default.
Bagaimana mengatasi masalah tersebut
Mungkin opsi terbaik saat ini adalah menghapus instalan klien Nvidia GeForce Experience dari sistem operasi.
Hal pertama yang mungkin ingin Anda lakukan adalah memastikan bahwa suatu sistem rentan. Buka folder% ProgramFiles (x86)% \ NVIDIA Corporation \ pada PC Windows dan periksa apakah direktori NvNode ada.
Jika ya, buka direktori. Temukan file Nvidia Web Helper.exe di direktori.
Klik kanan pada file setelahnya, dan pilih properti. Saat jendela properti terbuka, alihkan ke detail. Di sana Anda harus melihat nama file asli dan nama produk.
Setelah Anda memastikan bahwa server Node.js benar-benar ada di mesin, sekarang saatnya untuk menghapusnya asalkan Nvidia GeForce Experience tidak diperlukan.
- Anda dapat menggunakan Control Panel> Uninstall applet Program untuk itu, atau jika Anda menggunakan Windows 10 Pengaturan> Aplikasi> Aplikasi & fitur.
- Apapun itu, Nvidia GeForce Experience terdaftar sebagai program terpisah yang diinstal pada sistem.
- Hapus instalan program Nvidia GeForce Experience dari sistem Anda.
Jika Anda memeriksa folder program sesudahnya lagi, Anda akan melihat bahwa seluruh folder NvNode tidak lagi ada di sistem.
Sekarang Baca : Blokir Pelacakan Telemetri Nvidia pada PC Windows
