NVIDIA GeForce Experience命令执行漏洞

2019年6月7日00:01:27 发表评论

NVIDIAGFE是与GeForce驱动程序一起安装的配套应用程序,允许用户捕获和共享视频,屏幕截图和实时流,同时还提供了保持驱动程序更新和游戏设置优化的方法。

NVIDIA GeForce Experience命令执行漏洞

跟踪为CVE-2019-5678,并且驻留在GFE启动时启动的本地WebHelper服务器上,可以通过欺骗受害者访问精心设计的网站并进行几次按键来利用该漏洞,DavidYesland,安全研究员犀牛安全实验室。

NVIDIAGeForceExperience包含WebHelper组件中的漏洞,其中具有本地系统访问权限的攻击者可以制作可能无法正确验证的输入。这种攻击可能导致代码执行,拒绝服务或信息泄露,NVIDIA在一份咨询报告中指出。

在启动时,GFE启动本地API服务器来控制应用程序的不同方面,用户从GUI界面进行的所有更改都可能会调用本地API。但是,服务器只接受经过身份验证的请求,Yesland说他找不到旁路。

然而,他确实发现即使从一个不同的Origin(如攻击者控制的网站)也可以向服务器发出有效请求,只要能够获得秘密令牌即可。然而,攻击将通过浏览器执行,因为实施的CORS策略允许请求来自任何Origin。

这次攻击仍需要了解秘密令牌。解决这个问题的唯一方法是,如果用户可能被欺骗上传包含令牌的文件。但由于秘密令牌文件具有静态路径和名称,因此可以在浏览器中相当容易地实现,这只需要用户按几个键来实现命令注入,Yesland解释说。

在Chrome中,研究人员解释说,该漏洞需要按三个键,CTRL+V+Enter,这允许将任意文本复制到剪贴板。然而,在Firefox中,这一步需要点击某种鼠标,他指出。

攻击确实需要一些用户交互,但它足够小,足以欺骗用户执行操作。

这里真正的问题似乎是API允许来自任何Origin的跨源资源共享,这意味着如果通过任何方法获得秘密令牌,则可以通过浏览器对任何端点执行XHR请求,安全研究员说。

NVIDIA通过删除允许命令注入的端点,在最新版本的GFE中解决了此漏洞。但是,开放的CORS策略尚未更改,nodejs.json文件仍保留在静态位置,这意味着仍然可以通过浏览器与API进行交互。

NVIDIA在GFE中修补的另一个安全漏洞在于应用程序错误地加载Windows系统DLL而未验证路径或签名,这可能被具有本地系统访问权限的攻击者利用通过代码执行来升级权限。

发表评论

后发表评论