Abo
  • Services:
Anzeige
Der Nvidia-Treiber für Windows enthält einen Node.js-Server.
Der Nvidia-Treiber für Windows enthält einen Node.js-Server. (Bild: ETC-USC, flickr.com/CC-BY 2.0)

Whitelist umgehen: Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

Der Nvidia-Treiber für Windows enthält einen Node.js-Server.
Der Nvidia-Treiber für Windows enthält einen Node.js-Server. (Bild: ETC-USC, flickr.com/CC-BY 2.0)

Der Nvidia-Grafiktreiber für Windows enthält offenbar einen Node.js-Server. Das ermöglicht es, Whitelisting oder Signatur-Methoden ziemlich trivial zu umgehen, um beliebigen Code auf einem Rechner auszuführen.

Mithilfe des sogenannten Whitelistings können Administratoren Sammlungen bestimmter Anwendungen festlegen, die vom Betriebssystem explizit ausgeführt werden dürfen. Alle Programme, die nicht auf der Whitelist stehen, lassen sich dann nicht ohne weiteres starten. Diese Methode kann darüber hinaus noch mit kryptografische Signaturen abgesichert werden. Der Grafiktreiber von Nvidia für Windows ermöglicht jedoch, diese Sicherheitsfunktionen relativ trivial zu umgehen, denn der Treiber enthält einen Node.js-Server.

Anzeige

Aufgefallen ist dies den IT-Sicherheitsexperten von Sec Consult. Demnach handelt es sich bei dem als Teil des Treibers vertriebenen Web Helper Services um eine umbenannte Binärdatei von Node.js. Als Teil des Grafiktreibers eines Windows-Systems sollte diese Anwendung üblicherweise auf der Whitelist stehen und damit auch signiert sein.

Zugriff auf System-APIs und -Bibliotheken dank Node

Der Node-Server kann im interaktiven Modus gestartet werden, sodass im Prinzip beliebige Befehle über den Server ausgeführt werden können. Der Darstellung zufolge könne so direkt auf die Windows-APIs zugegriffen werden, etwa um das Whitelisting abzuschalten. Ebenso könne auch direkt Malware als Node.js-Modul geschrieben werden. Beide Methoden funktionieren allein deshalb, weil dem Node-Prozess in dem Whitelisting-Szenario vertraut wird.

Interessant an dieser Angriffsmöglichkeit ist außerdem, dass für Node.js auch Addons in C und C++ geschrieben werden können. Darüber kann einerseits der Zugriff auf die Windows-API erfolgen, andererseits lassen sich über diesen Mechanismus auch weitere Bibliotheken laden, was wiederum zum Ausführen beliebiger Malware genutzt werden könnte.

Für letzteres müsste zwar möglicherweise eine Datei in das Dateisystem geschrieben werden, aber auch dafür gebe es bereits bekannte Tricks, auch wenn diese nicht trivial umsetzbar seien, schreibt Sec Consult. Für einen erfolgreichen Angriff müsste letztlich auch noch der Node.js-Server selbst gestartet werden, wofür es aber auch eine Vielzahl von Möglichkeiten gebe.

Die Sicherheitsforscher empfehlen deshalb, den Node.js-Server des Nvidia-Treibers - falls möglich - zu entfernen, oder zumindest dessen Aufrufe zu überwachen. Ebenso sollte bei einer Sicherheitsüberprüfung auch in anderen Anwendungen nach Node.js gesucht werden.


eye home zur Startseite
Arschi 25. Apr 2017

das passt schon, bin ebenfalls auf Win10 x64 bin zwar noch nicht dazu gekommen, sollte...

chithanh 23. Apr 2017

Da gibt es noch mehr Komponenten (Kernel, libdrm, ggf. DDX) aber ok. Mesa versucht...

winterkoenig 23. Apr 2017

Ich habe GFE sogar nachträglich deinstalliert und kein NvNode-Verzeichnis mehr auf der...

FreiGeistler 23. Apr 2017

Link nicht gesehen, gehört aber auch in den Artikel. Danke jedenfalls. Immer gleich diese...

FreiGeistler 22. Apr 2017

Und weisst du wie die zum löschen empfohlene Datei heisst?



Anzeige

Stellenmarkt
  1. RheinHunsrück Wasser Zweckverband, Dörth
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. ALLIED VISION TECHNOLOGIES GMBH, Ahrensburg bei Hamburg oder Osnabrück
  4. DPD Deutschland GmbH, Großostheim


Anzeige
Top-Angebote
  1. 94,90€ statt 129,90€
  2. 64,90€ statt 79,90€
  3. 144,90€ statt 159,90€

Folgen Sie uns
       


  1. Umwelt

    China baut 100-Meter-Turm für die Luftreinigung

  2. Marktforschung

    Viele Android-Apps kollidieren mit kommendem EU-Datenschutz

  3. Sonic Forces

    Offenbar aktuellste Version von Denuvo geknackt

  4. KWin

    KDE beendet Funktionsentwicklung für X11

  5. Sprachassistenten

    Alexa ist Feministin

  6. Elektromobilität

    Elektroautos werden langsam beliebter in Deutschland

  7. Crypto-Bibliothek

    OpenSSL bekommt Patch-Dienstag und wird transparenter

  8. Spectre und Meltdown

    Kleine Helferlein überprüfen den Rechner

  9. Anfrage

    Senat sieht sich für WLAN im U-Bahn-Tunnel nicht zuständig

  10. Gaming

    Über 3 Millionen deutsche Spieler treiben regelmäßig E-Sport



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ein Jahr Trump: Der Cheerleader der deregulierten Wirtschaft
Ein Jahr Trump
Der Cheerleader der deregulierten Wirtschaft
  1. US-Wahl 2016 Twitter findet weitere russische Manipulationskonten
  2. F-52 Trump verkauft Kampfjets aus Call of Duty
  3. Raumfahrtpolitik Amerika will wieder zum Mond - und noch viel weiter

Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. NGSFF alias M.3 Adata zeigt seine erste SSD mit breiterer Platine
  2. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  3. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

  1. Re: Migration X11 -> Wayland

    Teebecher | 03:18

  2. Re: SJW müssen mal wieder den Spaß aus allem...

    KaeseSchnitte | 03:11

  3. Re: Warum verschweigt er das wahre Problem...

    lurchie | 02:55

  4. Spectre und ältere Rechner

    Thobar | 02:52

  5. Re: Das fehlt mir gerade noch ...

    KaeseSchnitte | 02:26


  1. 18:19

  2. 17:43

  3. 17:38

  4. 15:30

  5. 15:02

  6. 14:24

  7. 13:28

  8. 13:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel