Abo
  • Services:
Anzeige
Der Nvidia-Treiber für Windows enthält einen Node.js-Server.
Der Nvidia-Treiber für Windows enthält einen Node.js-Server. (Bild: ETC-USC, flickr.com/CC-BY 2.0)

Whitelist umgehen: Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

Der Nvidia-Treiber für Windows enthält einen Node.js-Server.
Der Nvidia-Treiber für Windows enthält einen Node.js-Server. (Bild: ETC-USC, flickr.com/CC-BY 2.0)

Der Nvidia-Grafiktreiber für Windows enthält offenbar einen Node.js-Server. Das ermöglicht es, Whitelisting oder Signatur-Methoden ziemlich trivial zu umgehen, um beliebigen Code auf einem Rechner auszuführen.

Mithilfe des sogenannten Whitelistings können Administratoren Sammlungen bestimmter Anwendungen festlegen, die vom Betriebssystem explizit ausgeführt werden dürfen. Alle Programme, die nicht auf der Whitelist stehen, lassen sich dann nicht ohne weiteres starten. Diese Methode kann darüber hinaus noch mit kryptografische Signaturen abgesichert werden. Der Grafiktreiber von Nvidia für Windows ermöglicht jedoch, diese Sicherheitsfunktionen relativ trivial zu umgehen, denn der Treiber enthält einen Node.js-Server.

Anzeige

Aufgefallen ist dies den IT-Sicherheitsexperten von Sec Consult. Demnach handelt es sich bei dem als Teil des Treibers vertriebenen Web Helper Services um eine umbenannte Binärdatei von Node.js. Als Teil des Grafiktreibers eines Windows-Systems sollte diese Anwendung üblicherweise auf der Whitelist stehen und damit auch signiert sein.

Zugriff auf System-APIs und -Bibliotheken dank Node

Der Node-Server kann im interaktiven Modus gestartet werden, sodass im Prinzip beliebige Befehle über den Server ausgeführt werden können. Der Darstellung zufolge könne so direkt auf die Windows-APIs zugegriffen werden, etwa um das Whitelisting abzuschalten. Ebenso könne auch direkt Malware als Node.js-Modul geschrieben werden. Beide Methoden funktionieren allein deshalb, weil dem Node-Prozess in dem Whitelisting-Szenario vertraut wird.

Interessant an dieser Angriffsmöglichkeit ist außerdem, dass für Node.js auch Addons in C und C++ geschrieben werden können. Darüber kann einerseits der Zugriff auf die Windows-API erfolgen, andererseits lassen sich über diesen Mechanismus auch weitere Bibliotheken laden, was wiederum zum Ausführen beliebiger Malware genutzt werden könnte.

Für letzteres müsste zwar möglicherweise eine Datei in das Dateisystem geschrieben werden, aber auch dafür gebe es bereits bekannte Tricks, auch wenn diese nicht trivial umsetzbar seien, schreibt Sec Consult. Für einen erfolgreichen Angriff müsste letztlich auch noch der Node.js-Server selbst gestartet werden, wofür es aber auch eine Vielzahl von Möglichkeiten gebe.

Die Sicherheitsforscher empfehlen deshalb, den Node.js-Server des Nvidia-Treibers - falls möglich - zu entfernen, oder zumindest dessen Aufrufe zu überwachen. Ebenso sollte bei einer Sicherheitsüberprüfung auch in anderen Anwendungen nach Node.js gesucht werden.


eye home zur Startseite
Arschi 25. Apr 2017

das passt schon, bin ebenfalls auf Win10 x64 bin zwar noch nicht dazu gekommen, sollte...

chithanh 23. Apr 2017

Da gibt es noch mehr Komponenten (Kernel, libdrm, ggf. DDX) aber ok. Mesa versucht...

winterkoenig 23. Apr 2017

Ich habe GFE sogar nachträglich deinstalliert und kein NvNode-Verzeichnis mehr auf der...

FreiGeistler 23. Apr 2017

Link nicht gesehen, gehört aber auch in den Artikel. Danke jedenfalls. Immer gleich diese...

FreiGeistler 22. Apr 2017

Und weisst du wie die zum löschen empfohlene Datei heisst?



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Berlin, München, Darmstadt, Frankfurt am Main
  2. Carl Hanser Verlag GmbH & Co. KG, München
  3. AKAFÖ ? Akademisches Förderungswerk, AöR, Bochum
  4. Ratbacher GmbH, Stuttgart


Anzeige
Top-Angebote
  1. 99,99€ mit Vorbesteller-Preisgarantie (NUR 1 Stück pro Kunde!)
  2. 23,94€
  3. 15,99€

Folgen Sie uns
       


  1. Verbrennungsmotor

    Benzin-Drohne soll fünf Tage in der Luft bleiben

  2. Assistenzsysteme

    Kängurus verwirren Volvos

  3. RapidE

    Aston Martin kündigt erstes Elektroauto für 2019 an

  4. Honor 9 im Hands on

    Huawei macht das P10 überflüssig

  5. Qualcomm

    Snapdragon 450 unterstützt Iris-Scan

  6. Google Daydream

    Qualcomm verrät Details zu Standalone-Headsets

  7. Frontier Development

    Weltraumspiel Elite Dangerous für PS4 erhältlich

  8. Petya-Ransomware

    Maersk, Rosneft und die Ukraine mit Ransomware angegriffen

  9. Nach Einigung

    Bündnis hält Facebook-Gesetz weiterhin für gefährlich

  10. SNES Classic Mini

    Nintendo produziert zweite Retrokonsole in höherer Stückzahl



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Ninjas, Pyramiden und epische kleine Kämpfe
Mobile-Games-Auslese
Ninjas, Pyramiden und epische kleine Kämpfe
  1. Ubisoft Chaoshasen, Weltraumaffen und die alten Ägypter
  2. Monument Valley 2 im Test Rätselspiel mit viel Atmosphäre und mehr Vielfalt
  3. Mobile-Games-Auslese Weltraumkartoffel und Bilderbuchwanderung für mobile Spieler

Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Aruba HPE Indoor-Tracking leicht gemacht
  2. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  3. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN

Neues iPad Pro im Test: Von der Hardware her ein Laptop
Neues iPad Pro im Test
Von der Hardware her ein Laptop
  1. iFixit iPad Pro 10,5 Zoll intern ein geschrumpftes 12,9 Zoll Modell
  2. Office kostenpflichtig Das iPad Pro 10,5 Zoll ist Microsoft zu groß
  3. Hintergrundbeleuchtung Logitech bringt Hülle mit abnehmbarer Tastatur für iPad Pro

  1. Re: endlich spricht man Huawei auch in D richtig aus

    Kein Kostverächter | 09:07

  2. Meh

    MadMonkey | 09:07

  3. Re: Bin nur ich so dumm, ...

    Test_The_Rest | 09:05

  4. Re: Ich sehe nur 64GB "ROM"

    Kein Kostverächter | 09:04

  5. Re: Neulich bei Intel

    Legendenkiller | 09:01


  1. 08:58

  2. 08:37

  3. 08:06

  4. 07:40

  5. 06:00

  6. 02:00

  7. 17:35

  8. 17:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel