• IT-Karriere:
  • Services:

Whitelist umgehen: Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

Der Nvidia-Grafiktreiber für Windows enthält offenbar einen Node.js-Server. Das ermöglicht es, Whitelisting oder Signatur-Methoden ziemlich trivial zu umgehen, um beliebigen Code auf einem Rechner auszuführen.

Artikel veröffentlicht am ,
Der Nvidia-Treiber für Windows enthält einen Node.js-Server.
Der Nvidia-Treiber für Windows enthält einen Node.js-Server. (Bild: ETC-USC, flickr.com/CC-BY 2.0)

Mithilfe des sogenannten Whitelistings können Administratoren Sammlungen bestimmter Anwendungen festlegen, die vom Betriebssystem explizit ausgeführt werden dürfen. Alle Programme, die nicht auf der Whitelist stehen, lassen sich dann nicht ohne weiteres starten. Diese Methode kann darüber hinaus noch mit kryptografische Signaturen abgesichert werden. Der Grafiktreiber von Nvidia für Windows ermöglicht jedoch, diese Sicherheitsfunktionen relativ trivial zu umgehen, denn der Treiber enthält einen Node.js-Server.

Stellenmarkt
  1. Heinz von Heiden GmbH Massivhäuser, Isernhagen
  2. Bundesinstitut für Risikobewertung, Berlin

Aufgefallen ist dies den IT-Sicherheitsexperten von Sec Consult. Demnach handelt es sich bei dem als Teil des Treibers vertriebenen Web Helper Services um eine umbenannte Binärdatei von Node.js. Als Teil des Grafiktreibers eines Windows-Systems sollte diese Anwendung üblicherweise auf der Whitelist stehen und damit auch signiert sein.

Zugriff auf System-APIs und -Bibliotheken dank Node

Der Node-Server kann im interaktiven Modus gestartet werden, sodass im Prinzip beliebige Befehle über den Server ausgeführt werden können. Der Darstellung zufolge könne so direkt auf die Windows-APIs zugegriffen werden, etwa um das Whitelisting abzuschalten. Ebenso könne auch direkt Malware als Node.js-Modul geschrieben werden. Beide Methoden funktionieren allein deshalb, weil dem Node-Prozess in dem Whitelisting-Szenario vertraut wird.

Interessant an dieser Angriffsmöglichkeit ist außerdem, dass für Node.js auch Addons in C und C++ geschrieben werden können. Darüber kann einerseits der Zugriff auf die Windows-API erfolgen, andererseits lassen sich über diesen Mechanismus auch weitere Bibliotheken laden, was wiederum zum Ausführen beliebiger Malware genutzt werden könnte.

Für letzteres müsste zwar möglicherweise eine Datei in das Dateisystem geschrieben werden, aber auch dafür gebe es bereits bekannte Tricks, auch wenn diese nicht trivial umsetzbar seien, schreibt Sec Consult. Für einen erfolgreichen Angriff müsste letztlich auch noch der Node.js-Server selbst gestartet werden, wofür es aber auch eine Vielzahl von Möglichkeiten gebe.

Die Sicherheitsforscher empfehlen deshalb, den Node.js-Server des Nvidia-Treibers - falls möglich - zu entfernen, oder zumindest dessen Aufrufe zu überwachen. Ebenso sollte bei einer Sicherheitsüberprüfung auch in anderen Anwendungen nach Node.js gesucht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Gerichtsurteil zu eBay-Auktion
    BMW muss nicht für 1 Euro verkauft werden
  2. Valve
    Half-Life 3 sollte zum Teil prozedural generiert werden
  3. 3D-Druck
    3D-Drucker baut zweistöckiges Haus
  4. Renault Zoe
    Ganz entspannt von Meer zu Meer
  5. Anti Corona-Warn-App
    Die peinliche "Späher-App" der AfD
Anzeige
Spiele-Angebote
  1. 7,99€
  3. 13,49€
  4. 29,32€ (PS4), 29,99€ (Xbox One)
Kommentarübersicht
Re: Nur in GF Experience.
Arschi 25. Apr 2017

das passt schon, bin ebenfalls auf Win10 x64 bin zwar noch nicht dazu gekommen, sollte...

Re: Kann es sein das das gar nicht zum Treiber...
chithanh 23. Apr 2017

Da gibt es noch mehr Komponenten (Kernel, libdrm, ggf. DDX) aber ok. Mesa versucht...

Re: TREIBER oder GEForce Experience?
winterkoenig 23. Apr 2017

Ich habe GFE sogar nachträglich deinstalliert und kein NvNode-Verzeichnis mehr auf der...

Re: und wie heisst die umbenannte Datei von node...
FreiGeistler 23. Apr 2017

Link nicht gesehen, gehört aber auch in den Artikel. Danke jedenfalls. Immer gleich diese...

Re: Hat in einem GERÄTETREIBER nichts zu suchen!!!
FreiGeistler 22. Apr 2017

Und weisst du wie die zum löschen empfohlene Datei heisst?

Folgen Sie uns
       
Wo steige ich in Star Citizen ein? - Tutorialvideo

Der Start in Star Citizen ist nicht für jeden Menschen einfach: Golem.de erklärt im Video, wo Neulinge anfangen können, was diese bereits erwartet und verrät ein paar Tipps zur Weltraumsimulation.

Wo steige ich in Star Citizen ein? - Tutorialvideo Video aufrufen
Games
Survival-Sandbox-Spiele: Überlebenskämpfe im Sandkasten
Survival-Sandbox-Spiele
Überlebenskämpfe im Sandkasten

Survival-Sandbox-Spiele gibt für jeden Geschmack: Von brutalen Apokalypsen über exotische Dschungelwelten bis hin zur friedlichen Idylle.
Von Rainer Sigl

  1. Twitter & Reddit Viele Berichte über sexuelle Übergriffe in der Spielebranche
  2. Maneater im Test Bissiger Blödsinn
  3. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord
TLS
HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
HTTPS/TLS
Zwischenzertifikate von Tausenden Webseiten fehlerhaft

Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.
Von Hanno Böck

  1. Nach Safari Chrome und Firefox wollen nur noch einjährige Zertifikate
  2. Sicherheitslücke GnuTLS setzt Session-Keys auf null
  3. Sectigo Abgelaufenes Root-Zertifikat entfacht Ärger
Rollenspiel
Ultima 6 - The False Prophet: Als Britannia Farbe bekannte
Ultima 6 - The False Prophet
Als Britannia Farbe bekannte

Zum 30. Geburtstag von Ultima 6 habe ich den Rollenspielklassiker wieder gespielt - und war überrascht, wie anders ich das Spiel heutzutage wahrnehme.
Ein Erfahrungsbericht von Andreas Altenheimer

  1. Pathfinder 2 angespielt Abenteuer als wohlwollender Engel oder rasender Dämon
  2. 30 Jahre Champions of Krynn Rückkehr ins Reich der Drachen und Drakonier
  3. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /