Eingebauter Node.js-Server: Per Nvidia-Treiber lassen sich Schädlinge einschleusen
Nvidia-Treiber enthalten einen Node.js-Server - keine gute Idee: Damit lassen sich Sicherungsmechanismen wie Application Whitelisting umgehen.
René Freingruber von SEC Consult Vulnerability Lab ist auf einem Windows-System eher zufällig auf ein Executeable namens Web Helper.exe gestoßen, das von Nvidia-Treibern mitinstalliert wird. Dabei handelt es sich um nichts anderes als einen umbenannten Node.js-Server. Als Teil des Grafiktreibers dürfte diese Anwendung üblicherweise von Sicherungsmechanismen des Betriebssystems unbehelligt bleiben.
Als Anwendungsserver eignet sich Node.js allerdings als Einfallstor für weiteren Schadcode. So könne man den Server nutzen, um Sicherungsmechanismen des Betriebssystems auszuschalten – node.js hat Zugriff auf das Windows API. Alternativ ließe sich der Server auch direkt als Laufzeitumgebung für Schadcode nutzen. Freingruber spielt in einem Blog-Beitrag ausführlich verschiedene Möglichkeiten durch, wie sich der Server starten und fernsteuern lässt.
Wer das auf verwalteten Servern unterbinden will, sollte seine Systeme nach node.js-Datein untersuchen – überall, nicht nur bei den Nvidia-Treibern, –, deren Ausführung unterbinden, sofern dies möglich ist, oder zumindest genau monitoren, wann und vom wem diese Anwendungsserver ausgeführt werden. (jo)