# Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware



## Freakless08 (22. April 2017)

*Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

Der Nvidia Treiber bringt einen Node.js-Server mit, welcher als Whitelist eingesetzt wird.
Wie das Sicherheitsunternehmen Sec Consult herausfand, kann dieser Server jedoch in den interaktiven Modus gesetzt werden, wodurch es ermöglicht wird beliebigen Code auszuführen. So kann z.B. ein für Node.js geschriebenes Malware Programm anschließend den Rechner infizieren und auf Windows-APIs zugegriffen werden.
Zudem lassen sich Programmbibliotheken nachladen, wenn die für Node.js geschriebene Schadsoftware in C oder C++ geschrieben wurde.

Die Sicherheitsforscher empfehlen Node.js im Nvidia Treiber zu deaktiveren.

Mehr dazu bei Golem Whitelist umgehen: Node-Server im Nvidia-Treiber ermoglicht Malware-Ausfuhrung - Golem.de


----------



## Ion (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*



> Die Sicherheitsforscher empfehlen Node.js im Nvidia Treiber zu deaktiveren.


Und wie macht man das?


----------



## dreadkopp (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

@Ion: z.b. Eine rx580 verbauen  

Wobei eher Nvidia mal überlegen sollte, wie es sein kann, dass ihr Server nicht genau das tut, was er soll... 


Gesendet von meinem Xperia Z Ultra mit Tapatalk


----------



## bschicht86 (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

Suchen und löschen 

Erst Datensammeln per Treiber jetzt auch noch Backdoors im Treiber. Der Treiber sollte doch eigentlich nur dazu da sein um ein Stück Hardware zu steuern.


----------



## drebbin (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

Und die Glocken erklingen für die nächste Runde im Forums-Battle-der andere Hersteller hat schlechte Treiber-Thread.
Ich bin dann Mal Popcorn holen, enttäuscht mich nicht 

Gesendet von meinem Aquaris X5 Plus mit Tapatalk


----------



## DARPA (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

Es geht um die Datei "NVIDIA Web Helper.exe ", welche wohl eine umbenannte javascript ist. 
Ich finde die Datei zwar im Treiberpaket, allerdings ist sie bei mir nicht installiert. Dieser Prozess wird auch nicht ausgeführt. Ist vllt Teil von Experience, welches ich nie installiere.


----------



## Nuallan (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

War doch schon lange klar, dass der Nvidia-Treiber das einschleusen von Geforce Experience ermöglicht.


----------



## Faxe007 (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*



DARPA schrieb:


> Es geht um die Datei "NVIDIA Web Helper.exe ", welche wohl eine umbenannte javascript ist.
> Ich finde die Datei zwar im Treiberpaket, allerdings ist sie bei mir nicht installiert. Dieser Prozess wird auch nicht ausgeführt. Ist vllt Teil von Experience, welches ich nie installiere.


Ich habe zum Glück auch kein Experience installiert und auf meinem Rechner befindet sich auch keine "NVIDIA Web Helper.exe


----------



## Freiheraus (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*



drebbin schrieb:


> Ich bin dann Mal Popcorn holen, enttäuscht mich nicht



Mir fehlt bisher der Hinweis, dass der AMD-Treiber das auch bald genau so macht, weil AMD kein Wohlfahrtsverein ist^^


----------



## VikingGe (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

Als Antwort darauf darf natürlich nicht fehlen, dass AMD das _garantiert_ und ohne Quellenangabe schon seit 10 Jahren so macht und die Fanboys es nur unter den Teppich kehren. 

Ist auch ein interessantes Problem. Für den 08/15-Gamer hat das quasi keine Relevanz, weil davon wohl kaum jemand hier Whitelists nutzen wird - ob sexymaus42.jpg.exe nun direkt ausgeführt wird oder über nen kurzen Umweg, ist mehr oder weniger egal, zumal man wohl auch direkten Zugriff aufs System braucht und sich die Lücke nicht einfach durch präparierte Daten ausnutzen lässt - aber diejenigen, die das Feature aus Sicherheitsgründen nutzen, schauen jetzt blöd aus der Wäsche. Oder sie werfen die entsprechende Datei aus ihrer Whitelist, die macht ja nichts Überlebenswichtiges.


----------



## onlygaming (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

Habe den ganzen Ordner NVNode gelöscht, sobald nVidia einen neuen Treiber mit einem Fix dafür veröffentlicht kommt der drauf


----------



## DKK007 (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*



onlygaming schrieb:


> Habe den ganzen Ordner NVNode gelöscht, sobald nVidia einen neuen Treiber mit einem Fix dafür veröffentlicht kommt der drauf



Kann man nur hoffen, das da bald ein Patch kommt.


----------



## onlygaming (22. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*



DKK007 schrieb:


> Kann man nur hoffen, das da bald ein Patch kommt.



So siehts aus, und wir können nur hoffen das sich Nvidia damit nicht so viel Zeit lässt da es anscheinend kein harmloser Fehler ist.


----------



## Speedwood (23. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

So lange der Helper Dienst gestartet ist kann man jeglichen code ausführen, das heist Driveby download´s oder manuell ausgeführte Datein in welcher form auch immer, werden in der JS Shell ausgeführt und kein Anti Virus selbst mit heuristik und Cloud funktion kann was dagehen tun.  Weil der Schadcode im Helper Context läuft. Eine sehr gefährliche Situation...


----------



## Atma (23. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

Die ganze Angelegenheit ist doch mal wieder richtig schlecht recherchiert, auch von Golem. 

Es wird mit keiner Silbe erwähnt, dass man offenbar GeForce Experience installiert haben muss, um von dem Problem betroffen zu sein. Ich hatte noch nie GFE installiert und kann weder die betroffene Datei noch den zugehörigen Ordner bei bei mir finden. Hauptsache erst mal pauschal "Treiber" schreiben für schön Clickbait und Panikmache


----------



## Grestorn (23. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

Was mir als Info auch fehlt: Wie wird denn - ohne zutun des Anwenders oder Nutzung einer anderen Lücke - der node.js Server in den interaktiven Modus versetzt? Denn das ist ja offensichtlich die Voraussetzung für jeden Angriff. Nur zu sagen "dafür gibt es diverse Möglichkeiten" sagt nichts aus, wenn man diese Möglichkeiten nicht aufzählt und bewertet.


----------



## KatanaxXx (23. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*



Faxe007 schrieb:


> Ich habe zum Glück auch kein Experience installiert und auf meinem Rechner befindet sich auch keine "NVIDIA Web Helper.exe



Da irrst du dich aber gewaltig!
Was wir brauchen: https://technet.microsoft.com/de-de/sysinternals/bb963902.aspx
Downloaden und in der 64bit Version ausführen: nvidia telemetry monitor autostart hacken wegmachen (das wird beim treiber standalone mit auf default gesetzt)
Alternativ kann mans auch über die Aufgabenplanung deaktivieren.

Dann gehts weiter in der Registrierung nach "nvnodejslauncher.exe" suchen, da solltet ihr einen Eintrag finden in der Regel unter folgendem Pfad: 
C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe - Eintrag löschen; Maschine neu starten und glücklich sein.

Keine verdächtigen Aktivitäten mehr im Process Monitor


----------



## Faxe007 (23. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*



KatanaxXx schrieb:


> Da irrst du dich aber gewaltig!
> 
> Dann gehts weiter in der Registrierung nach "nvnodejslauncher.exe" suchen, da solltet ihr einen Eintrag finden in der Regel unter folgendem Pfad:
> C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe - Eintrag löschen; Maschine neu starten und glücklich sein.
> ...



Danke für die Links. Ich habe aber auch keinen "nvnodejslauncher.exe"-Eintrag in der Registry. Ich habe aber auch nur den zweitneusten Treiber (V. 378.92) drauf. Nachdem ich ich von der automatisch aktivierten Telemetrie gelesen habe, wollte ich nämlich erst mal sehen wie sich das entwickelt und hab ich mit der Treiberaktualisierung gewartet - und anscheinend zu Recht...


----------



## JanJake (23. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

Ich weiß schon warum ich den Hersteller meide! 

Ich denke auch nicht das es eine "versehentliche" Lücke ist sondern eher gewollt. Schneiden so auch jeden scheiß mit den ich mache! Aber zum Glück habe ich keine NV Karte in meinem Rechner und kommt da auch nie wieder rein.


----------



## Manwiththegum (23. April 2017)

*AW: Nvidia Grafikkarten-Treiber ermöglicht einschleusen von Malware*

Zum Glück habe ich gerade keine Grafikkarte.


----------

