Mit NVIDIA-Treibern werden auch ein eigenes Benutzerkonto und diverse Programme unter Windows eingerichtet. Diese lassen sich nutzen, um Programme oder Befehle unter Windows mit administrativen Berechtigungen auszuführen. Problem: Dem Benutzer wird suggeriert, dass eine legale Betriebssystemkomponente ausgeführt wird.
Anzeige
Windows fordert bei Aufgaben, die administrative Berechtigungen erfordern, eine explizite Freigabe durch die Benutzerkontensteuerung. Dumm aber, wenn sich dieser Mechanismus durch Malware so maskieren lässt, dass scheinbar legale Programme für den Aufruf verantwortlich sind. Durch einen Tweet bin ich die Tage auf einen Sachverhalt gestoßen, der Insidern wohl länger bekannt ist.
Running system commands through Nvidia signed binaries: https://t.co/9lAxxhQfxg … pic.twitter.com/peiVK7Qhw9
— giMini (@pabraeken) 23. April 2018
Der betreffende Nutzer hat etwas herumgespielt und konnte Systembefehle über den Nvidia Uninstaller aufrufen. Eine Möglichkeit, den auch Malware verwenden kann.
Der ursprüngliche Artikel
Es gibt einen englischsprachigen Beitrag Reusigned Binaries – Living off the signed land vom November 2017, wo ein Sicherheitsforscher sich mit einem Problem befasst: Legitime und signierte exe- und dll-Dateien des Betriebssystems zu finden, über die sich bestimmte Sachen erledigen lassen.
Anzeige
- Unsignierte DLLs durch die signierten EXE-Dateien laden,
- Code auf unerwartete, unkonventionelle Weise mit Hilfe von Phantom-DLLs, Sideloaded DLLs laden,
- OS-Tools für den Datei Down- und Upload missbrauchen
Die Liste der Szenarien lässt sich beliebige verlängert. Der Sicherheitsforscher ist schnell auf die Nvidia-Tools gestoßen, die mit der Installation eines Grafiktreibers auf das System kommen. Die Programme nvuhda.exe und nvuhda6.exe sind NVIDIA Uninstaller für 32- und 64-Bit. Werden diese von einer Kommandozeile ausgeführt, erscheint folgendes Dialogfeld:
Über die Programme oder nvudisp.exe lassen sich offenbar einige Befehle per Kommandozeile ausführen. Über die Befehlsoption help lassen sich Details über die Befehlssyntax herausfinden. So lässt sich der Windows-Rechner mit folgendem Befehl starten:
nvuhda6.exe System calc.exe
Im betreffenden Beitrag werden eine Reihe weiterer Befehle zum Anpassen der Registrierung, zum Erstellen von Verknüpfungen etc. gezeigt. Das ist quasi eine Blaupause für weitere Experimente.
An dieser Stelle bin ich noch in eine kleine Falle gelaufen. Ich habe nach einem Programm nvudisp.exe suchen lassen. Das wurde auch gefunden, zeigte aber beim Aufruf die obige Meldung. Ich konnte das 32-Bit-Programm nicht unter einem 64-Bit-Windows 7 ausführen. Die Erklärung war simpel: Ich hatte mir den Pfad nicht angeschaut – auf meiner Platte lag ein entpackter 32-Bit-Nvidia Grafiktreiber für eine andere Maschine. Das konnte natürlich nicht klappen.
Ein weiterer Artikel
Entwickler Pierre-Alexandre Braeken hat die Ideen aus obigem Beitrag aufgegriffen, denn ihm war ein verstecktes Benutzerkonto (angelegt vom Nvidia-Installer zum Updaten der Treiber) auf seinem Windows-System aufgefallen. Er stießt dann auf die Datei nvudisp.exe, die ebenfalls die obige Ausgabe ermöglicht bzw. die Ausführung von Befehlen zulässt.
Für alle diese Befehle ist in deren Manifest festgelegt, dass Administratorenrechte benötigt werden. Normalerweise ist nun der Impuls: 'Na und, ich weiß ja, dass Administratorenrechte angefordert werden – wenn eine Malware diese bekommt, ist es klar, dass die Ärger machen kann.' Das Problem bei diesem ganzen Ansatz ist aber, dass eine Malware die Nvidia-Programme missbrauchen kann, um administrative Berechtigungen zu bekommen und irgendwelche Aktionen auf dem System auszuführen.
Kontrolliert der Benutzer die Programmdatei, die die Benutzerkontensteuerung angefordert hat, im betreffenden Dialogfeld, sieht es harmlos aus. Es ist der Nvidia-Update/-Installer/-Uninstaller, der wohl wieder aktiv ist. Einfach im Hinterkopf behalten.
Ähnliche Artikel:
Wo kommt der Ordner UpdatusUsers her?
Nvidia: Treiber-Update (teilweise) nur nach Anmeldung
Blue Screen mit Fehlercode 0x00000116 (nvlddmkm.sys)
Sony Vaio PCG-6L2M auf Windows 10 aktualisieren – Teil 1
Anzeige
Was mache ich falsch?
Die Datei "nvudisp.exe" findet sich nicht.
Windows 10 Pro x64 Version 1709 Build 16299.402
nVidia Geforce GTX 660 mit Treiber 391.35
Schau dir das Treiberverzeichnis an, ob andere .exe-Programme vorliegen. Falls nein, sind nur Windows 10-Treiber installiert und nicht das Paket von Nvidia.
Kompletten Nvidia Installer? Ich habe mittels Script den Trackingmüll vor Ausführung entfernt und dann erst installiert.
Es sind nicht nur die von Windows installiert.
Win10 x64
Kann es sein das die fragliche Datei nur vom Nvidia Treiber für Win 7/ Vista benutzt/installiert wird ?
Betriebssystem: Microsoft Windows 10 Pro
Architektur: 64-bit
Release: 1709
Version: 10.0.16299
Nvidia GTX 950
Nvidia Treiber: 23.21.13.9135 vom 23.03.2018
Könnte sein – oder hast Du mal den kompletten Nvidia-Installer verwendet? Wenn ich Zeit habe, schaue ich mal auf einer Windows 10 Testmaschine nach – ich meine, ich habe eine, wo eine Nvidia Grafikkarte zusätzlich drin ist.