Los investigadores de seguridad de Sec Consult descubrieron una vulnerabilidad en el software GeForce Experience de Nvidia que permite a los atacantes eludir la lista blanca de aplicaciones de Windows.
La experiencia GeForce de Nvidia es un programa que Nvidia instala de forma predeterminada en sus paquetes de controladores. El programa, diseñado inicialmente para proporcionar a los usuarios una buena configuración de los juegos de ordenador para que funcionen mejor en los sistemas de los usuarios, ha sido ampliado desde entonces por Nvidia.
El software comprueba si hay actualizaciones de controladores ahora, y puede instalarlas, e impone el registro antes de que su otra funcionalidad esté disponible.
Lo interesante de esto es que no es necesario para hacer uso de la tarjeta gráfica, y que la tarjeta de vídeo funciona igualmente bien sin ella.
Nvidia GeForce Experience instala un servidor node.js en el sistema cuando se instala. El archivo no se llama node.js, sino NVIDIA Web Helper.exe, y se encuentra en %ProgramFiles(x86)%NVIDIA CorporationNNvNode de forma predeterminada.
Nvidia cambió el nombre de Node.js a NVIDIA Web Helper.exe y lo firmó. Esto significa que Node.js se instala en la mayoría de los sistemas con tarjetas gráficas Nvidia, teniendo en cuenta que los controladores se instalan automáticamente y no utilizando la opción de instalación personalizada.
Sugerencia : Instale sólo los componentes del controlador de Nvidia que necesite y desactive los Servicios de Nvidia Streamer y otros procesos de Nvidia,
Las listas blancas permiten a los administradores definir programas y procesos que pueden ejecutarse en un sistema operativo. Microsoft AppLocker es una solución popular de listas blancas para mejorar la seguridad en los PC con Windows.
Los administradores pueden mejorar aún más la seguridad utilizando firmas para reforzar la integridad del código y del script. Este último es compatible con Windows 10 y Windows Server 2016 con Microsoft Device Guard, por ejemplo.
Los investigadores de seguridad encontraron dos posibilidades para explotar la aplicación NVIDIA Web Helper.exe de Nvidia:
- Utilice Node.js directamente para interactuar con las API de Windows.
- Cargue el código ejecutable “en el proceso node.js” para ejecutar código malicioso.
Dado que el proceso está firmado, evitará cualquier cheque basado en la reputación por defecto.
Desde la perspectiva del atacante, esto abre dos posibilidades. Utilice node.js para interactuar directamente con la API de Windows (por ejemplo, para deshabilitar la lista blanca de aplicaciones o para cargar de forma reflexiva un ejecutable en el proceso node.js para ejecutar el binario malicioso en nombre del proceso firmado) o para escribir el malware completo con node.js. Ambas opciones tienen la ventaja de que el proceso en ejecución está firmado y por lo tanto evita los sistemas antivirus (algoritmos basados en la reputación) por defecto.
Cómo resolver el problema
Probablemente la mejor opción en este momento es desinstalar el cliente Nvidia GeForce Experience del sistema operativo.
Lo primero que debe hacer es asegurarse de que el sistema es vulnerable. Abra la carpeta %ProgramFiles(x86)%NVIDIA Corporation en el PC con Windows y compruebe si el directorio NvNode existe.
Si es así, abra el directorio. Busque el archivo Nvidia Web Helper.exe en el directorio.
Haga clic con el botón derecho del ratón en el archivo y seleccione Propiedades. Cuando se abra la ventana de propiedades, cambie a detalles. Allí debería ver la ventana de diálogo