derwowusste
Goto Top

Nvidia-Sicherheitslücke - wie geht Ihr damit um?

Moin.

Derzeit klafft in allen nvidia-Treibern außern den neuesten eine Sicherheitslücke, die den Nutzern gestattet, sich Adminrechte zu verschaffen, siehe NVIDIA GPU-Treiber: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten
Ich werde das diese Woche noch angehen und mein Plan ist, das Netzwerk mittels psinfo -s (aus den pstools) zu durchsuchen, als Teil des Startskriptes.
Das liefert mir die Version des Treibers.

MIt ein bißchen Geskripte lässt sich nun herausfinden, ob der Rechner eine verwundbare Version hat.
Hat jemand dies Skript bereits erstellt? Nvidia könnte ruhig mal ein Scantool anbieten face-smile

Windows-Update bietet leider noch keine aktuellen nvidia-Treiber. Man könnte natürlich 3rd-party-Treiber einpflegen mittels wsus packet publisher.
Hat das schon einmal jemand für genau diesen Fall gemacht?

Content-Key: 289239

Url: https://administrator.de/contentid/289239

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: 122990
122990 24.11.2015 aktualisiert um 19:32:28 Uhr
Goto Top
Moin,
mit Powershell kommst du auch so an die Version von NVIDIA Karten:
gwmi Win32_VideoController -Filter "Caption like '%NVIDIA%'" | select Caption,DriverVersion
Gruß grexit
Mitglied: psannz
psannz 24.11.2015 um 19:58:01 Uhr
Goto Top
Sers,

Zitat von @122990:

Moin,
mit Powershell kommst du auch so an die Version von NVIDIA Karten:
> gwmi Win32_VideoController -Filter "Caption like '%NVIDIA%'" | select Caption,DriverVersion
> 
Gruß grexit

Dito. Gefolgt von einem Install bei passenden Versionen.

Das große Problem folgt aber an anderer Stelle: Zertifizierung. Kein freigegebener Treiber, kein Support der Software Hersteller.

Patche und du verlierst den Support. Oder patche nicht und riskiere einen Angriff.

Grüße,
Philip
Mitglied: DerWoWusste
DerWoWusste 24.11.2015 aktualisiert um 21:36:12 Uhr
Goto Top
Guter Tipp, danke. Und Eigenerfahrung mit der Verteilung von nvidias Treiber? Silent-Install von Driver-only ohne den restlichen Bloat? Vielleicht hat ja jemand noch etwas in der Schublade.
@psannz: darum müssen wir uns keine Gedanken machen. Wir hatten in 15 Jahren CAD noch nie ein Problem, dass sich an einem nicht zertifizierten Treiber festmachen ließ. Ich lege auf diese Zertifizierungen keinen Wert mehr.
Mitglied: rzlbrnft
rzlbrnft 24.11.2015 aktualisiert um 22:48:17 Uhr
Goto Top
Macht ihr euch über sowas Gedanken? Ich habe weitaus weniger Streß das ein DAU sich ungewollten administrativen Zugriff auf eine Büchse verschafft die problemlos in einer Stunde mit Image wieder neu installiert ist als das er versehentlich Produktivdaten löscht auf die er leider Schreibrechte haben muss.
Mitglied: DerWoWusste
DerWoWusste 24.11.2015 um 22:54:15 Uhr
Goto Top
Macht ihr euch über sowas Gedanken?
Offensichtlich wohl. Wir haben solche Auflagen (Militär).
Mitglied: rzlbrnft
rzlbrnft 24.11.2015 aktualisiert um 23:04:17 Uhr
Goto Top
Und was wenn er die Kiste klaut und mit nach Hause nimmt?

Ich weiß natürlich nicht wie die Auflagen genau aussehen, ich versuche nur mein zu betreuendes Netzwerk unter allen möglichen Kriterien zu bewerten und Informationen zu sammeln, dort liegen die größten Probleme eher nicht bei Menschen, die die Fähigkeit besitzen Exploits in Treibern auszunutzen.
Dazu müssten sie ja erstmal an den Rechner rankommen und wenn das der Fall ist, ist wahrscheinlich in deinem Netzwerk auch schon was schief gelaufen.
Mitglied: DerWoWusste
DerWoWusste 24.11.2015 um 23:08:35 Uhr
Goto Top
Es geht nicht um die angriffslustige Putze, sondern um die Auflage,bestehenden Nutzern nach Möglichkeit exploitfreie Rechner zu bieten, nicht zuletzt, weil die Nutzer selbst keine Adminrechte bekommen sollen, auch nicht, wenn sie das Knowhow hätten. - zu Hause? Was soll er damit nun zu Hause machen, was er in der Firma nicht auch kann? Ist verschlüsselt, kann er auch zu Hause nicht anders benutzen als in der Firma. Bitlocker mit TPM, kein Offline-Mounten möglich. Aber wir schweifen ab.
Mitglied: DerWoWusste
DerWoWusste 25.11.2015 aktualisiert um 16:48:11 Uhr
Goto Top
Zwischenstand: wird wohl auf wsus package publisher hinauslaufen, dieser kann ja anhand von Dateiversionen und WMI-Abfragen handeln.
Zum Befehl: http://www.drwindows.de/windows-8-allgemein/80392-nvidia-treiber-silent ... liefert
1.) Treiber mit 7-zip entpacken
2.) Alle Verzeichnisse löschen, außer "Display.Driver" und "NVI2".  
3.) Im entpackten Ordner sollte jetzt nur noch Folgendes zu sehen sein:

Code:
24.10.2014  14:53    <DIR>          .
24.10.2014  14:53    <DIR>          ..
18.10.2014  00:21    <DIR>          Display.Driver
18.10.2014  00:22    <DIR>          NVI2
16.10.2014  18:54            15.086 EULA.txt
16.10.2014  18:54            21.904 license.txt
16.10.2014  18:54           130.181 ListDevices.txt
16.10.2014  18:54            29.252 setup.cfg
16.10.2014  18:54           412.992 setup.exe
4.) Die Installation erfolgt nun mit dem Befehl:

setup.exe /passive /nosplash /noeula /clean /noreboot
(wir nutzen nur den Treiber, keine Zusätze).
Mitglied: DerWoWusste
DerWoWusste 25.11.2015 aktualisiert um 19:33:04 Uhr
Goto Top
So, nun wird's interessant. Ich habe mit LUP (fast das Selbe wie der WSUS package publisher) ein Paket für WSUS erstellt, was auch detektiert und samt aller nötigen Dateien auf den Testrechner geladen wird. Setup startet auch, das sehe ich im Taskmanager. Es bricht jedoch direkt nach der Detektionsphase ab. Mir scheint, man kann das Graka-Setup von Nvidia nicht auf diese Weise installieren. Mache ich das selbe als Systemkonto, über die selbe Kommandozeilensyntax, dann gelingt es. Unterschied: man sieht das UI und das scheint der Installationsroutine viel zu bedeuten.

Ok, abgehakt, nächster Versuch Startskript.
Mitglied: DerWoWusste
DerWoWusste 25.11.2015 um 20:33:35 Uhr
Goto Top
Startskript klappt auch nicht.