{"id":203687,"date":"2018-04-29T01:32:00","date_gmt":"2018-04-28T23:32:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=203687"},"modified":"2018-04-25T09:42:45","modified_gmt":"2018-04-25T07:42:45","slug":"systembefehle-ber-nvidia-signed-binaries-aufrufen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/04\/29\/systembefehle-ber-nvidia-signed-binaries-aufrufen\/","title":{"rendered":"Systembefehle &uuml;ber Nvidia signed binaries aufrufen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Mit NVIDIA-Treibern werden auch ein eigenes Benutzerkonto und diverse Programme unter Windows eingerichtet. Diese lassen sich nutzen, um Programme oder Befehle unter Windows mit administrativen Berechtigungen auszuf\u00fchren. Problem: Dem Benutzer wird suggeriert, dass eine legale Betriebssystemkomponente ausgef\u00fchrt wird. <\/p>\n<p><!--more--><\/p>\n<p>Windows fordert bei Aufgaben, die administrative Berechtigungen erfordern, eine explizite Freigabe durch die Benutzerkontensteuerung. Dumm aber, wenn sich dieser Mechanismus durch Malware so maskieren l\u00e4sst, dass scheinbar legale Programme f\u00fcr den Aufruf verantwortlich sind. Durch <a href=\"https:\/\/twitter.com\/pabraeken\/status\/988458699252551682\" target=\"_blank\">einen Tweet<\/a> bin ich die Tage auf einen Sachverhalt gesto\u00dfen, der Insidern wohl l\u00e4nger bekannt ist.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Running system commands through Nvidia signed binaries: <a href=\"https:\/\/t.co\/9lAxxhQfxg\">https:\/\/t.co\/9lAxxhQfxg<\/a> \u2026 <a href=\"https:\/\/t.co\/peiVK7Qhw9\">pic.twitter.com\/peiVK7Qhw9<\/a><\/p>\n<p>\u2014 giMini (@pabraeken) <a href=\"https:\/\/twitter.com\/pabraeken\/status\/988458699252551682?ref_src=twsrc%5Etfw\">23. April 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Der betreffende Nutzer hat etwas herumgespielt und konnte Systembefehle \u00fcber den Nvidia Uninstaller aufrufen. Eine M\u00f6glichkeit, den auch Malware verwenden kann.<\/p>\n<h2>Der urspr\u00fcngliche Artikel<\/h2>\n<p>Es gibt einen englischsprachigen Beitrag <a href=\"http:\/\/www.hexacorn.com\/blog\/2017\/11\/10\/reusigned-binaries-living-off-the-signed-land\/\" target=\"_blank\">Reusigned Binaries \u2013 Living off the signed land<\/a> vom November 2017, wo ein Sicherheitsforscher sich mit einem Problem befasst: Legitime und signierte exe- und dll-Dateien des Betriebssystems zu finden, \u00fcber die sich bestimmte Sachen erledigen lassen.<\/p>\n<ul>\n<li>Unsignierte DLLs durch die signierten EXE-Dateien laden,  <\/li>\n<li>Code auf unerwartete, unkonventionelle Weise mit Hilfe von Phantom-DLLs, Sideloaded DLLs laden,  <\/li>\n<li>OS-Tools f\u00fcr den Datei Down- und Upload missbrauchen<\/li>\n<\/ul>\n<p>Die Liste der Szenarien l\u00e4sst sich beliebige verl\u00e4ngert. Der Sicherheitsforscher ist schnell auf die Nvidia-Tools gesto\u00dfen, die mit der Installation eines Grafiktreibers auf das System kommen. Die Programme <em>nvuhda.exe<\/em> und <em>nvuhda6.exe <\/em>sind NVIDIA Uninstaller f\u00fcr 32- und 64-Bit. Werden diese von einer Kommandozeile ausgef\u00fchrt, erscheint folgendes Dialogfeld:<\/p>\n<p><img decoding=\"async\" title=\"NVUdisp-Meldung\" alt=\"NVUdisp-Meldung\" src=\"https:\/\/i.imgur.com\/GXW2GBQ.jpg\"\/><\/p>\n<p>\u00dcber die Programme oder <em>nvudisp.exe<\/em> lassen sich offenbar einige Befehle per Kommandozeile ausf\u00fchren. \u00dcber die Befehlsoption <em>help <\/em>lassen sich Details \u00fcber die Befehlssyntax herausfinden. So l\u00e4sst sich der Windows-Rechner mit folgendem Befehl starten:<\/p>\n<p><em>nvuhda6.exe System calc.exe<\/em><\/p>\n<p>Im betreffenden Beitrag werden eine Reihe weiterer Befehle zum Anpassen der Registrierung, zum Erstellen von Verkn\u00fcpfungen etc. gezeigt. Das ist quasi eine Blaupause f\u00fcr weitere Experimente.<\/p>\n<p><img decoding=\"async\" title=\"Fehler des Nvidia-Installers\" alt=\"Fehler des Nvidia-Installers\" src=\"https:\/\/i.imgur.com\/iOjefXS.jpg\"\/><\/p>\n<blockquote>\n<p>An dieser Stelle bin ich noch in eine kleine Falle gelaufen. Ich habe nach einem Programm nvudisp.exe suchen lassen. Das wurde auch gefunden, zeigte aber beim Aufruf die obige Meldung. Ich konnte das 32-Bit-Programm nicht unter einem 64-Bit-Windows 7 ausf\u00fchren. Die Erkl\u00e4rung war simpel: Ich hatte mir den Pfad nicht angeschaut \u2013 auf meiner Platte lag ein entpackter 32-Bit-Nvidia Grafiktreiber f\u00fcr eine andere Maschine. Das konnte nat\u00fcrlich nicht klappen.<\/p>\n<\/blockquote>\n<h2>Ein weiterer Artikel<\/h2>\n<p>Entwickler Pierre-Alexandre Braeken hat die Ideen aus obigem Beitrag aufgegriffen, denn ihm war ein verstecktes Benutzerkonto (angelegt vom Nvidia-Installer zum Updaten der Treiber) auf seinem Windows-System aufgefallen. Er stie\u00dft dann auf die Datei <em>nvudisp.exe<\/em>, die ebenfalls die obige Ausgabe erm\u00f6glicht bzw. die Ausf\u00fchrung von Befehlen zul\u00e4sst. <\/p>\n<p><img decoding=\"async\" title=\"nvidisp.exe-Befehle\" alt=\"nvidisp.exe-Befehle\" src=\"https:\/\/2.bp.blogspot.com\/-OZe_Ib0DO9Q\/Wt4JVxQmOdI\/AAAAAAAADDs\/_X8hOPD9PV8wP-Jpau3oFhOb3c7YorcAgCLcBGAs\/s640\/nvidia4.png\"\/><\/p>\n<p>F\u00fcr alle diese Befehle ist in deren Manifest festgelegt, dass Administratorenrechte ben\u00f6tigt werden. Normalerweise ist nun der Impuls: 'Na und, ich wei\u00df ja, dass Administratorenrechte angefordert werden \u2013 wenn eine Malware diese bekommt, ist es klar, dass die \u00c4rger machen kann.' Das Problem bei diesem ganzen Ansatz ist aber, dass eine Malware die Nvidia-Programme missbrauchen kann, um administrative Berechtigungen zu bekommen und irgendwelche Aktionen auf dem System auszuf\u00fchren. <\/p>\n<p>Kontrolliert der Benutzer die Programmdatei, die die Benutzerkontensteuerung angefordert hat, im betreffenden Dialogfeld, sieht es harmlos aus. Es ist der Nvidia-Update\/-Installer\/-Uninstaller, der wohl wieder aktiv ist. Einfach im Hinterkopf behalten.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2011\/07\/01\/wo-kommt-der-ordner-updatususers-her\/\">Wo kommt der Ordner UpdatusUsers her?<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/11\/29\/nvidia-treiber-update-teilweise-nur-nach-anmeldung\/\">Nvidia: Treiber-Update (teilweise) nur nach Anmeldung<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/11\/30\/blue-screen-mit-fehlercode-0x00000116-nvlddmkm-sys\/\">Blue Screen mit Fehlercode 0x00000116 (nvlddmkm.sys)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/03\/08\/sony-vaio-pcg-6l2m-auf-windows-10-aktualisieren-teil-1\/\">Sony Vaio PCG-6L2M auf Windows 10 aktualisieren \u2013 Teil 1<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mit NVIDIA-Treibern werden auch ein eigenes Benutzerkonto und diverse Programme unter Windows eingerichtet. Diese lassen sich nutzen, um Programme oder Befehle unter Windows mit administrativen Berechtigungen auszuf\u00fchren. Problem: Dem Benutzer wird suggeriert, dass eine legale Betriebssystemkomponente ausgef\u00fchrt wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4325],"class_list":["post-203687","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203687","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=203687"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203687\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=203687"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=203687"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=203687"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}