PresseBox
Pressemitteilung BoxID: 849467 (Fidelis Cybersecurity)
  • Fidelis Cybersecurity
  • 1601 Trapelo Road
  • 02451 Waltham, MA
  • http://www.fidelissecurity.com
  • Ansprechpartner
  • Ingrid Daschner
  • +49 (89) 8940-8511

Malware-Injection über den Nvidia-Treiber - Umbenannter Node.js-Server hilft, Whitelisting zu umgehen

(PresseBox) (Waltham, MA, ) Wie SEC Consult in ihrem Blog darlegen, scheint der Nvidia-Grafiktreiber unter Windows einen umbenannten Node.js-Server auf dem System zu installieren, über den sich Whitelisting umgehen und auf verschiedenste Art und Weise Malware auf dem betroffenen System installieren lässt. Die als NVIDIA Web Helper Service beschriebene Datei ermöglicht es Angreifern, auf die Windows-APIs zuzugreifen, Malware als Node.js-Modul zu schreiben oder über Addons ins System zu gelangen.

Oliver Keizers, Regional Director DACH des Security-Spezialisten Fidelis Cybersecurity, kommentiert diesen Schwachstellenfund:

„Zunächst einmal stellt sich in diesem Fall die Frage, ob es sich um einen Bug, oder ein Feature handelt. Ein so im System eingesetzter Node.js-Server ermöglicht natürlich auch ‚freundlichen‘ Updates das unproblematische Ausführen – jeder, dessen Treiber-Update schon einmal an der Firewall gescheitert ist, wird sich darüber freuen. Aber leider kann so auch keine funktionierende Verteidigung aufgebaut werden, die sich lediglich auf Firewalls, Antivirenlösungen und traditionelle Intrusion Protection Systeme stützt.

Jeder kennt die Geschichte des Trojanischen Pferdes, um Mauern, Wachtürme und massive Tore zu umgehen und dann von Innen zuzuschlagen. So ähnlich ist auch dieser Fall gelagert, nur, dass das Holzpferd gar nicht sonderlich überzeugend sein muss – der Node.js-Server stößt das Tor weit auf. Und ebenso wie in den Geschichten die Eindringlinge nachts die Tore öffnen, so kann auch hier über den Zugriff auf die Windows-APIs das Whitelisting komplett abgeschaltet werden, was weiteren Angriffen alle Möglichkeiten bietet.

Der Blog von SEC Consult macht zwar klar, dass dieser Angriffsvektor einiges an Erfahrung und Können voraussetzt, aber die Berichterstattung zur aktuelle Kriminalstatistik zeigt, dass es sich hier um ein zwielichtiges Geschäft mit immer mehr und immer versierteren Verbrechern handelt. Wo sich dann noch solche Möglichkeiten bieten, finden sich auch Menschen, die sie ausnutzen können.

Am Ende zeigt der Fall deutlich, dass es unmöglich ist, sich vollständig abzusichern und eine Überwachung des Verkehrs auf zielgerichtete, schadhafte Aktionen unabdingbar ist. Wenn ein Gerätetreiber ab Werk ein Einfallstor für Malware ist, dann können traditionelle Perimeter-Tools nicht mehr helfen. Es muss den Sicherheitsverantwortlichen im Unternehmen die Möglichkeit gegeben werden, den Command & Control-Verkehr zu erkennen und auf dem Endpunkt schädliche Aktionen überwachen zu können."