Whitelist umgehen: Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

Der Nvidia-Grafiktreiber für Windows enthält offenbar einen Node.js-Server. Das ermöglicht es, Whitelisting oder Signatur-Methoden ziemlich trivial zu umgehen, um beliebigen Code auf einem Rechner auszuführen.

Artikel veröffentlicht am ,
Der Nvidia-Treiber für Windows enthält einen Node.js-Server.
Der Nvidia-Treiber für Windows enthält einen Node.js-Server. (Bild: ETC-USC, flickr.com/CC-BY 2.0)

Mithilfe des sogenannten Whitelistings können Administratoren Sammlungen bestimmter Anwendungen festlegen, die vom Betriebssystem explizit ausgeführt werden dürfen. Alle Programme, die nicht auf der Whitelist stehen, lassen sich dann nicht ohne weiteres starten. Diese Methode kann darüber hinaus noch mit kryptografische Signaturen abgesichert werden. Der Grafiktreiber von Nvidia für Windows ermöglicht jedoch, diese Sicherheitsfunktionen relativ trivial zu umgehen, denn der Treiber enthält einen Node.js-Server.

Stellenmarkt
  1. IT Client Security (m/w/d)
    Radeberger Gruppe KG, Frankfurt am Main
  2. Inhouse Berater SAP HCM / SuccessFactors (w/m/d)
    TÜV SÜD Gruppe, München
Detailsuche

Aufgefallen ist dies den IT-Sicherheitsexperten von Sec Consult. Demnach handelt es sich bei dem als Teil des Treibers vertriebenen Web Helper Services um eine umbenannte Binärdatei von Node.js. Als Teil des Grafiktreibers eines Windows-Systems sollte diese Anwendung üblicherweise auf der Whitelist stehen und damit auch signiert sein.

Zugriff auf System-APIs und -Bibliotheken dank Node

Der Node-Server kann im interaktiven Modus gestartet werden, sodass im Prinzip beliebige Befehle über den Server ausgeführt werden können. Der Darstellung zufolge könne so direkt auf die Windows-APIs zugegriffen werden, etwa um das Whitelisting abzuschalten. Ebenso könne auch direkt Malware als Node.js-Modul geschrieben werden. Beide Methoden funktionieren allein deshalb, weil dem Node-Prozess in dem Whitelisting-Szenario vertraut wird.

Interessant an dieser Angriffsmöglichkeit ist außerdem, dass für Node.js auch Addons in C und C++ geschrieben werden können. Darüber kann einerseits der Zugriff auf die Windows-API erfolgen, andererseits lassen sich über diesen Mechanismus auch weitere Bibliotheken laden, was wiederum zum Ausführen beliebiger Malware genutzt werden könnte.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Für letzteres müsste zwar möglicherweise eine Datei in das Dateisystem geschrieben werden, aber auch dafür gebe es bereits bekannte Tricks, auch wenn diese nicht trivial umsetzbar seien, schreibt Sec Consult. Für einen erfolgreichen Angriff müsste letztlich auch noch der Node.js-Server selbst gestartet werden, wofür es aber auch eine Vielzahl von Möglichkeiten gebe.

Die Sicherheitsforscher empfehlen deshalb, den Node.js-Server des Nvidia-Treibers - falls möglich - zu entfernen, oder zumindest dessen Aufrufe zu überwachen. Ebenso sollte bei einer Sicherheitsüberprüfung auch in anderen Anwendungen nach Node.js gesucht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Arschi 25. Apr 2017

das passt schon, bin ebenfalls auf Win10 x64 bin zwar noch nicht dazu gekommen, sollte...

chithanh 23. Apr 2017

Da gibt es noch mehr Komponenten (Kernel, libdrm, ggf. DDX) aber ok. Mesa versucht...

winterkoenig 23. Apr 2017

Ich habe GFE sogar nachträglich deinstalliert und kein NvNode-Verzeichnis mehr auf der...

FreiGeistler 23. Apr 2017

Link nicht gesehen, gehört aber auch in den Artikel. Danke jedenfalls. Immer gleich diese...

FreiGeistler 22. Apr 2017

Und weisst du wie die zum löschen empfohlene Datei heisst?



Aktuell auf der Startseite von Golem.de
Amazon, Gorillas & Co.
Was darf die Gig Economy?

Kündigungen per Bot, GPS-Tracking und mehr: Onlineplattformen machen nicht nur in den USA mit Hire-and-Fire-Praktiken Schlagzeilen. Auch das deutsche Arbeitsrecht schützt nicht überall.
Von Harald Büring

Amazon, Gorillas & Co.: Was darf die Gig Economy?
Artikel
  1. 25 Jahre Independence Day: Ein riesiges Raumschiff und ein riesiger Erfolg
    25 Jahre Independence Day
    Ein riesiges Raumschiff und ein riesiger Erfolg

    "Willkommen auf der Erde!" Roland Emmerichs Independence Day ist ein Klassiker des Action-Kinos und enthält einen der besten Momente der Kinogeschichte.
    Von Peter Osteried

  2. Gaming: Galaktisch viel Star Wars im Anflug
    Gaming
    Galaktisch viel Star Wars im Anflug

    Quantic Dream (Detroit) arbeitet wohl an Star Wars. Es befinden sich noch mehr Sternenkrieger-Games in der Mache - eines kommt diese Woche.

  3. Apple: iPhone 13 bereits mit Wartezeit
    Apple
    iPhone 13 bereits mit Wartezeit

    Das neue iPhone 13 kann bestellt werden - die Lieferzeiten liegen aber teilweise bereits bei Ende Oktober. Besser ist die Situation in den Apple Stores.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Neuer MM-Prospekt (u. a. Asus Gaming-Notebook 17" RTX 3050 1.099€) • Samsung 970 Evo Plus 1TB 99€ • Saturn Hits 2021 (u. a. Philips 55" OLED 120Hz 1.849€) • Corsair RGB 16GB Kit 3600MHz 87,90€ • Dualsense Midnight Black + Deathloop 99,99€ • Alternate (u. a. Enermax CPU-Kühler 36,99€) [Werbung]
    •  /