Whitelist umgehen: Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung
Der Nvidia-Grafiktreiber für Windows enthält offenbar einen Node.js-Server. Das ermöglicht es, Whitelisting oder Signatur-Methoden ziemlich trivial zu umgehen, um beliebigen Code auf einem Rechner auszuführen.
Mithilfe des sogenannten Whitelistings können Administratoren Sammlungen bestimmter Anwendungen festlegen, die vom Betriebssystem explizit ausgeführt werden dürfen. Alle Programme, die nicht auf der Whitelist stehen, lassen sich dann nicht ohne weiteres starten. Diese Methode kann darüber hinaus noch mit kryptografische Signaturen abgesichert werden. Der Grafiktreiber von Nvidia für Windows ermöglicht jedoch, diese Sicherheitsfunktionen relativ trivial zu umgehen, denn der Treiber enthält einen Node.js-Server.
Aufgefallen ist dies den IT-Sicherheitsexperten von Sec Consult. Demnach handelt es sich bei dem als Teil des Treibers vertriebenen Web Helper Services um eine umbenannte Binärdatei von Node.js. Als Teil des Grafiktreibers eines Windows-Systems sollte diese Anwendung üblicherweise auf der Whitelist stehen und damit auch signiert sein.
Zugriff auf System-APIs und -Bibliotheken dank Node
Der Node-Server kann im interaktiven Modus gestartet werden, sodass im Prinzip beliebige Befehle über den Server ausgeführt werden können. Der Darstellung zufolge könne so direkt auf die Windows-APIs zugegriffen werden, etwa um das Whitelisting abzuschalten. Ebenso könne auch direkt Malware als Node.js-Modul geschrieben werden. Beide Methoden funktionieren allein deshalb, weil dem Node-Prozess in dem Whitelisting-Szenario vertraut wird.
Interessant an dieser Angriffsmöglichkeit ist außerdem, dass für Node.js auch Addons in C und C++ geschrieben werden können. Darüber kann einerseits der Zugriff auf die Windows-API erfolgen, andererseits lassen sich über diesen Mechanismus auch weitere Bibliotheken laden, was wiederum zum Ausführen beliebiger Malware genutzt werden könnte.
Für letzteres müsste zwar möglicherweise eine Datei in das Dateisystem geschrieben werden, aber auch dafür gebe es bereits bekannte Tricks, auch wenn diese nicht trivial umsetzbar seien, schreibt Sec Consult. Für einen erfolgreichen Angriff müsste letztlich auch noch der Node.js-Server selbst gestartet werden, wofür es aber auch eine Vielzahl von Möglichkeiten gebe.
Die Sicherheitsforscher empfehlen deshalb, den Node.js-Server des Nvidia-Treibers - falls möglich - zu entfernen, oder zumindest dessen Aufrufe zu überwachen. Ebenso sollte bei einer Sicherheitsüberprüfung auch in anderen Anwendungen nach Node.js gesucht werden.
das passt schon, bin ebenfalls auf Win10 x64 bin zwar noch nicht dazu gekommen, sollte...
Da gibt es noch mehr Komponenten (Kernel, libdrm, ggf. DDX) aber ok. Mesa versucht...
Ich habe GFE sogar nachträglich deinstalliert und kein NvNode-Verzeichnis mehr auf der...
Link nicht gesehen, gehört aber auch in den Artikel. Danke jedenfalls. Immer gleich diese...
Und weisst du wie die zum löschen empfohlene Datei heisst?