Nvidia-Treiber: Schwachstelle kann theoretisch als Einfallstor für Schädlinge dienen
Ein Sicherheitsforscher von Sec Consult hat eine hausgemachte Schwachstelle in den Nvidia-Grafiktreibern gefunden, die von potenziellen Hackern als Einfallstor für Malware genutzt werden könnte. Die von den Grafiktreibern automatisch installierte Datei WebHelper.exe ist eigentlich ein aus der Ferne angreifbarer Node.js-Server, der auf Windows-Systemen auf der Application-Whitelist steht.
Mit einer Schwachstelle in Nvidia-Treibern kommt ein weiteres gefundenes Fressen für Kritiker von Update-Diensten. Die von Nvidia für seine Grafiktreiber genutzte Datei "Web Helper Services" ist ein angreifbarer Node.js-Server. Der Sicherheitsforscher René Freingruber von Sec Consult entdeckte die Schwachstelle und zeigte, wie der Node.js-Server unter dem Deckmantel der Datei Web Helper Services aus der Ferne gesteuert werden kann.
Der Node.js-Server fungiert dabei als Einfallstor für potenzielle Angreifer, die die Whitelist des betroffenen PCs manipulieren und somit Schadcode ausführen können. Eine Installation der Web Helper Services können Nutzer nicht umgehen, denn die Nvidia-Grafiktreiber installieren die betreffende Datei automatisch mit.
Das eigentliche Problem mit den Web Helper Services stellt sich wie folgt dar: Die Datei WebHelper.exe ist auf der Application-Whitelist zu finden, womit Windows-Systeme dieser Datei vollkommen vertrauen. Ein Angreifer könnte dank der Schwachstelle den Server eigenhändig starten und aus der Ferne steuern. Ebenso wäre es denkbar, dass ein Angreifer den Node.js-Server weiter nutzt, um Malware dank Nvidia-Whitelisting direkt zu installieren. Um das Sicherheitsleck noch auf die Spitze zu treiben, könnten potenzielle Hacker Zugriff auf die Webcam, Screenshots und Mikrofon-Einstellungen erhalten.
Ein Weg, diese Schwachstelle der Nvidia-Treiber mittels der WebHelper.exe-Datei selbstständig zu beseitigen, wäre das Deaktivieren der betreffenden Datei. Die Datei WebHelper.exe lässt sich aber auch einfach entfernen. Das Mindeste wäre es, den Dienst und seine Aktivitäten genau zu beobachten. Weitere Hinweise dazu bietet ein Artikel auf Ghacks.
Quelle: Sec Consult via Heise
Ohne GFE hat man den Prozess nicht.
Vielen Dank für die Info, das sollte man im Artikel unbedingt ergänzen.
Ich habe nämlich zuerst danach gesucht und nichts gefunden, erst dann die Kommentare gelesen.
Geforce Experience hatte ich noch nie installiert, benötige ich schlichtweg nicht.
Diese Datei ist Bestandteil von nvidia experience
deinstallieren und Problem solved
Ist also doch nicht der Treiber, sondern der Rundrum-Müll, schlimm genug.
Demzufolge ist das:
Ohne GFE hat man den Prozess nicht.
Es gibt sicher einige Wege, die gewünschte Funktionalität sicher umzusetzen.
Kosten / fehlendes Wissen / Zeit (eine beliebige Kombination der drei Faktoren) haben das Vorhaben aber so enden lassen, wie es aktuell aussieht.
Wenn ich es richtig im Kopf hab, sind nur GFE Versionen ab 3.0 betroffen - also alle, bei denen die große Datensammlung scharf geschaltet wurde.
Da hat sicher mal wieder jemand ganz groß mit "BS Bingo" auftrumpfen und die Datensammlung als Allheilmittel verkaufen können - natürlich ohne einen wirklichen Plan für eine sichere Implementierung.
Das passiert leicht, sobald die Featuritis um sich greift.
Eine ähnliche Verwundbarkeit kann ich mir auch bei AMD vorstellen - sofern sie denn mal so eine Datensammlung einführen - aktuell beschränken sie sich ja auf Datensammlung bei der Installation.