اكتشف الباحثون الأمنيون Sec Sec ثغرة أمنية في برنامج GeForce Experience الخاص بـ Nvidia والذي يسمح للمهاجمين بتجاوز القائمة البيضاء لتطبيق Windows.
Nvidia's GeForce Experience هو برنامج تقوم Nvidia بتثبيته افتراضيًا في حزم برامج التشغيل الخاصة به. تم تصميم هذا البرنامج ، الذي تم تصميمه في البداية لتزويد المستخدمين بتكوينات جيدة لألعاب الكمبيوتر بحيث تعمل بشكل أفضل على أنظمة المستخدم ، منذ ذلك الحين بواسطة شركة Nvidia.
يبحث البرنامج عن تحديثات برنامج التشغيل الآن ، وقد يقوم بتثبيت هذه التحديثات ، ويفرض التسجيل قبل توفر وظائفه الأخرى.
ما يثير الاهتمام هو أنه ليس هناك حاجة لاستخدام بطاقة الرسومات ، وأن بطاقة الفيديو تعمل بشكل جيد على قدم المساواة بدونها.
تقوم Nvidia GeForce Experience بتثبيت خادم node.js على النظام عند تثبيته. لا يسمى الملف node.js ، ولكن NVIDIA Web Helper.exe ، وهو موجود تحت٪ ProgramFiles (x86)٪ \ NVIDIA Corporation \ NvNode \ بشكل افتراضي.
نفيديا إعادة تسمية Node.js إلى NVIDIA Web Helper.exe وتوقيعه. ما يعنيه هذا هو أن Node.js مثبت على غالبية الأنظمة التي تحتوي على بطاقات رسومات Nvidia ، مع الأخذ في الاعتبار أنه يتم تثبيت برامج التشغيل تلقائيًا وعدم استخدام خيار التثبيت المخصص.
نصيحة : قم فقط بتثبيت مكونات برنامج تشغيل Nvidia التي تحتاج إليها ، وقم بتعطيل خدمات Nvidia Streamer Services وغيرها من عمليات Nvidia ،
تسمح القائمة البيضاء للمسؤولين بتحديد البرامج والعمليات التي قد تعمل على نظام التشغيل. يعد Microsoft AppLocker حلاً شائعًا في القائمة البيضاء لتحسين الأمان على أجهزة كمبيوتر Windows.
يمكن للمسؤولين تحسين الأمان بشكل أكبر عن طريق استخدام التواقيع لفرض تكامل التعليمات البرمجية والبرنامج النصي. هذا الأخير مدعوم من قبل Windows 10 و windows Server 2016 مع Microsoft Device Guard على سبيل المثال.
وجد الباحثون الأمنيون احتمالين لاستغلال تطبيق NVIDIA Web Helper.exe الخاص بـ Nvidia:
- استخدم Node.js مباشرة للتفاعل مع واجهات برمجة تطبيقات Windows.
- قم بتحميل التعليمات البرمجية القابلة للتنفيذ "في عملية node.js" لتشغيل التعليمات البرمجية الضارة.
نظرًا لتوقيع العملية ، ستتجاوز أي عمليات تحقق تعتمد على السمعة افتراضيًا.
من منظور المهاجم ، هذا يفتح احتمالين. إما أن تستخدم node.js للتفاعل مباشرة مع واجهة برمجة تطبيقات Windows (على سبيل المثال لتعطيل القائمة البيضاء للتطبيق أو تحميل ملف قابل للتنفيذ بشكل عكسي في عملية node.js لتشغيل الثنائية الخبيثة نيابة عن العملية الموقعة) أو لكتابة البرامج الضارة الكاملة مع العقدة. شبيبة. يمتاز كلا الخيارين بميزة توقيع العملية الجارية وبالتالي تجاوز أنظمة مكافحة الفيروسات (الخوارزميات القائمة على السمعة) بشكل افتراضي.
كيفية حل المشكلة
ربما يكون الخيار الأفضل الآن هو إلغاء تثبيت عميل Nvidia GeForce Experience من نظام التشغيل.
أول شيء قد ترغب في القيام به هو التأكد من أن النظام ضعيف. افتح المجلد٪ ProgramFiles (x86)٪ \ NVIDIA Corporation \ على جهاز الكمبيوتر الذي يعمل بنظام Windows وتأكد من وجود الدليل NvNode.
إذا كان كذلك ، افتح الدليل. ابحث عن الملف Nvidia Web Helper.exe في الدليل.
انقر بزر الماوس الأيمن فوق الملف بعد ذلك ، واختر الخصائص. عند فتح نافذة الخصائص ، قم بالتبديل إلى التفاصيل. هناك سترى اسم الملف الأصلي واسم المنتج.
بمجرد إثبات أن خادم Node.js موجود بالفعل على الجهاز ، فقد حان الوقت لإزالته بشرط ألا تكون Nvidia GeForce Experience مطلوبة.
- يمكنك استخدام لوحة التحكم> إلغاء تثبيت برنامج صغير لذلك ، أو إذا كنت تستخدم إعدادات Windows 10> تطبيقات> تطبيقات وميزات.
- في كلتا الحالتين ، يتم سرد Nvidia GeForce Experience كبرنامج منفصل مثبت على النظام.
- قم بإلغاء تثبيت برنامج Nvidia GeForce Experience من نظامك.
إذا قمت بفحص مجلد البرنامج بعد ذلك مرة أخرى ، ستلاحظ أن مجلد NvNode بأكمله لم يعد موجودًا على النظام.
الآن اقرأ : حجب Nvidia القياس عن بعد على أجهزة كمبيوتر ويندوز
