Malware-Injection über den Nvidia-Treiber - Umbenannter Node.js-Server hilft, Whitelisting zu umgehen

(PresseBox) (Waltham, MA, ) Wie SEC Consult in ihrem Blog darlegen, scheint der Nvidia-Grafiktreiber unter Windows einen umbenannten Node.js-Server auf dem System zu installieren, über den sich Whitelisting umgehen und auf verschiedenste Art und Weise Malware auf dem betroffenen System installieren lässt. Die als NVIDIA Web Helper Service beschriebene Datei ermöglicht es Angreifern, auf die Windows-APIs zuzugreifen, Malware als Node.js-Modul zu schreiben oder über Addons ins System zu gelangen.

Oliver Keizers, Regional Director DACH des Security-Spezialisten Fidelis Cybersecurity, kommentiert diesen Schwachstellenfund:

„Zunächst einmal stellt sich in diesem Fall die Frage, ob es sich um einen Bug, oder ein Feature handelt. Ein so im System eingesetzter Node.js-Server ermöglicht natürlich auch ‚freundlichen‘ Updates das unproblematische Ausführen – jeder, dessen Treiber-Update schon einmal an der Firewall gescheitert ist, wird sich darüber freuen. Aber leider kann so auch keine funktionierende Verteidigung aufgebaut werden, die sich lediglich auf Firewalls, Antivirenlösungen und traditionelle Intrusion Protection Systeme stützt.

Jeder kennt die Geschichte des Trojanischen Pferdes, um Mauern, Wachtürme und massive Tore zu umgehen und dann von Innen zuzuschlagen. So ähnlich ist auch dieser Fall gelagert, nur, dass das Holzpferd gar nicht sonderlich überzeugend sein muss – der Node.js-Server stößt das Tor weit auf. Und ebenso wie in den Geschichten die Eindringlinge nachts die Tore öffnen, so kann auch hier über den Zugriff auf die Windows-APIs das Whitelisting komplett abgeschaltet werden, was weiteren Angriffen alle Möglichkeiten bietet.

Der Blog von SEC Consult macht zwar klar, dass dieser Angriffsvektor einiges an Erfahrung und Können voraussetzt, aber die Berichterstattung zur aktuelle Kriminalstatistik zeigt, dass es sich hier um ein zwielichtiges Geschäft mit immer mehr und immer versierteren Verbrechern handelt. Wo sich dann noch solche Möglichkeiten bieten, finden sich auch Menschen, die sie ausnutzen können.

Am Ende zeigt der Fall deutlich, dass es unmöglich ist, sich vollständig abzusichern und eine Überwachung des Verkehrs auf zielgerichtete, schadhafte Aktionen unabdingbar ist. Wenn ein Gerätetreiber ab Werk ein Einfallstor für Malware ist, dann können traditionelle Perimeter-Tools nicht mehr helfen. Es muss den Sicherheitsverantwortlichen im Unternehmen die Möglichkeit gegeben werden, den Command & Control-Verkehr zu erkennen und auf dem Endpunkt schädliche Aktionen überwachen zu können."

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.