NVIDIA任意文件写入命令执行的分析,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。
漏洞介绍
<强>在这篇文章中,我们将对NVIDIA GeForce经验(GFE)中的任意文件写入漏洞(cve - 2019 - 5674)进行深入分析。大家都知道,很多使用了N卡的设备在安装NVIDIA GeForce产品时默认都会安装NVIDIA GeForce经验(GFE),由于存在这个漏洞,攻击者将能够强制让应用程序以特权用户身份在目标系统中写入任意文件。简单来说,你可以通过重写关键系统文件来让主机无法正常服务,而且你甚至还可以控制,利用和窃取目标系统中的数据。强>
由于GFE在写入日志文件时使用的是系统用户权限,这种不安全的权限设置将导致任意系统文件均可被重写。除此之外,日志文件中的数据也是用户可控制的,攻击者将可以向日志文件中注入控制命令,然后将其存储为批处理文件来执行并实现提权。
NVIDIA GeForce经验
根据NVIDIA官网的介绍,GeForce经验GFE不仅可以更新升级显卡驱动,并优化你的游戏设置,而且还可以截的图,或跟朋友分享视频流文件。更重要的是,它可以给N卡用户提供更多的附加功能。
漏洞发现
当时在分析NVIDIA服务和应用程序时,我先打开的是进程监控软件(Procmon),分析后我发现,有两个跟英伟达有关的进程可能会有搞头:nvcontainer.exe和NVDisplay.Container.exe。接下来,我在Procmon中添加了一个过滤器来查看*的容器。exe会向那些文件写入数据。