Abo
  • IT-Karriere:

Whitelist umgehen: Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

Der Nvidia-Grafiktreiber für Windows enthält offenbar einen Node.js-Server. Das ermöglicht es, Whitelisting oder Signatur-Methoden ziemlich trivial zu umgehen, um beliebigen Code auf einem Rechner auszuführen.

Artikel veröffentlicht am ,
Der Nvidia-Treiber für Windows enthält einen Node.js-Server.
Der Nvidia-Treiber für Windows enthält einen Node.js-Server. (Bild: ETC-USC, flickr.com/CC-BY 2.0)

Mithilfe des sogenannten Whitelistings können Administratoren Sammlungen bestimmter Anwendungen festlegen, die vom Betriebssystem explizit ausgeführt werden dürfen. Alle Programme, die nicht auf der Whitelist stehen, lassen sich dann nicht ohne weiteres starten. Diese Methode kann darüber hinaus noch mit kryptografische Signaturen abgesichert werden. Der Grafiktreiber von Nvidia für Windows ermöglicht jedoch, diese Sicherheitsfunktionen relativ trivial zu umgehen, denn der Treiber enthält einen Node.js-Server.

Stellenmarkt
  1. IT-Systemhaus Dresden GmbH, Dresden
  2. S. Siedle & Söhne Telefon- und Telegrafenwerke OHG, Furtwangen im Schwarzwald

Aufgefallen ist dies den IT-Sicherheitsexperten von Sec Consult. Demnach handelt es sich bei dem als Teil des Treibers vertriebenen Web Helper Services um eine umbenannte Binärdatei von Node.js. Als Teil des Grafiktreibers eines Windows-Systems sollte diese Anwendung üblicherweise auf der Whitelist stehen und damit auch signiert sein.

Zugriff auf System-APIs und -Bibliotheken dank Node

Der Node-Server kann im interaktiven Modus gestartet werden, sodass im Prinzip beliebige Befehle über den Server ausgeführt werden können. Der Darstellung zufolge könne so direkt auf die Windows-APIs zugegriffen werden, etwa um das Whitelisting abzuschalten. Ebenso könne auch direkt Malware als Node.js-Modul geschrieben werden. Beide Methoden funktionieren allein deshalb, weil dem Node-Prozess in dem Whitelisting-Szenario vertraut wird.

Interessant an dieser Angriffsmöglichkeit ist außerdem, dass für Node.js auch Addons in C und C++ geschrieben werden können. Darüber kann einerseits der Zugriff auf die Windows-API erfolgen, andererseits lassen sich über diesen Mechanismus auch weitere Bibliotheken laden, was wiederum zum Ausführen beliebiger Malware genutzt werden könnte.

Für letzteres müsste zwar möglicherweise eine Datei in das Dateisystem geschrieben werden, aber auch dafür gebe es bereits bekannte Tricks, auch wenn diese nicht trivial umsetzbar seien, schreibt Sec Consult. Für einen erfolgreichen Angriff müsste letztlich auch noch der Node.js-Server selbst gestartet werden, wofür es aber auch eine Vielzahl von Möglichkeiten gebe.

Die Sicherheitsforscher empfehlen deshalb, den Node.js-Server des Nvidia-Treibers - falls möglich - zu entfernen, oder zumindest dessen Aufrufe zu überwachen. Ebenso sollte bei einer Sicherheitsüberprüfung auch in anderen Anwendungen nach Node.js gesucht werden.



Anzeige
Spiele-Angebote
  1. 15,49€
  2. 4,99€
  3. (-60%) 23,99€
  4. 29,99€

Arschi 25. Apr 2017

das passt schon, bin ebenfalls auf Win10 x64 bin zwar noch nicht dazu gekommen, sollte...

chithanh 23. Apr 2017

Da gibt es noch mehr Komponenten (Kernel, libdrm, ggf. DDX) aber ok. Mesa versucht...

winterkoenig 23. Apr 2017

Ich habe GFE sogar nachträglich deinstalliert und kein NvNode-Verzeichnis mehr auf der...

FreiGeistler 23. Apr 2017

Link nicht gesehen, gehört aber auch in den Artikel. Danke jedenfalls. Immer gleich diese...

FreiGeistler 22. Apr 2017

Und weisst du wie die zum löschen empfohlene Datei heisst?


Folgen Sie uns
       


Pedelec HNF-Nicolai SD1 Urban ausprobiert

Wir sind das Pedelec eine Woche lang zur Probe gefahren und waren besonders vom Motor angetan.

Pedelec HNF-Nicolai SD1 Urban ausprobiert Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Mobile Payment: Mit QR-Code-Kooperation zum europäischen Standard
Mobile Payment
Mit QR-Code-Kooperation zum europäischen Standard

Die Mobile Wallet Collaboration will ein einheitliches QR-Format als technische Grundlage für ein vereinfachtes Handling etablieren. Die Allianz aus sechs europäischen Bezahldiensten und Alipay aus China ist eine ernstzunehmende Konkurrenz für Google, Apple, Facebook, Amazon.
Von Sabine T. Ruh


    10th Gen Core: Intel verwirrt mit 1000er- und 10000er-Prozessoren
    10th Gen Core
    Intel verwirrt mit 1000er- und 10000er-Prozessoren

    Ifa 2019 Wer nicht genau hinschaut, erhält statt eines vierkernigen 10-nm-Chips mit schneller Grafikeinheit einen Dualcore mit 14++-Technik und lahmer iGPU: Intels Namensschema für Ice Lake und Comet Lake alias der 10th Gen macht das CPU-Portfolio wenig transparent.
    Von Marc Sauter

    1. Neuromorphic Computing Intel simuliert 8 Millionen Neuronen mit 64 Loihi-Chips
    2. EMIB trifft Foveros Intel kombiniert 3D- mit 2.5D-Stacking
    3. Nervana NNP-I Intels 10-nm-Inferencing-Chip nutzt Ice-Lake-Kerne

      •  /