10
Nvidia-Sicherheitslücke - wie geht Ihr damit um?
Moin.
Derzeit klafft in allen nvidia-Treibern außern den neuesten eine Sicherheitslücke, die den Nutzern gestattet, sich Adminrechte zu verschaffen, siehe NVIDIA GPU-Treiber: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten
Ich werde das diese Woche noch angehen und mein Plan ist, das Netzwerk mittels psinfo -s (aus den pstools) zu durchsuchen, als Teil des Startskriptes.
Das liefert mir die Version des Treibers.
MIt ein bißchen Geskripte lässt sich nun herausfinden, ob der Rechner eine verwundbare Version hat.
Hat jemand dies Skript bereits erstellt? Nvidia könnte ruhig mal ein Scantool anbieten
Windows-Update bietet leider noch keine aktuellen nvidia-Treiber. Man könnte natürlich 3rd-party-Treiber einpflegen mittels wsus packet publisher.
Hat das schon einmal jemand für genau diesen Fall gemacht?
Derzeit klafft in allen nvidia-Treibern außern den neuesten eine Sicherheitslücke, die den Nutzern gestattet, sich Adminrechte zu verschaffen, siehe NVIDIA GPU-Treiber: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten
Ich werde das diese Woche noch angehen und mein Plan ist, das Netzwerk mittels psinfo -s (aus den pstools) zu durchsuchen, als Teil des Startskriptes.
Das liefert mir die Version des Treibers.
MIt ein bißchen Geskripte lässt sich nun herausfinden, ob der Rechner eine verwundbare Version hat.
Hat jemand dies Skript bereits erstellt? Nvidia könnte ruhig mal ein Scantool anbieten
Windows-Update bietet leider noch keine aktuellen nvidia-Treiber. Man könnte natürlich 3rd-party-Treiber einpflegen mittels wsus packet publisher.
Hat das schon einmal jemand für genau diesen Fall gemacht?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289239
Url: https://administrator.de/contentid/289239
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
mit Powershell kommst du auch so an die Version von NVIDIA Karten:
Gruß grexit
mit Powershell kommst du auch so an die Version von NVIDIA Karten:
gwmi Win32_VideoController -Filter "Caption like '%NVIDIA%'" | select Caption,DriverVersion
Sers,
Dito. Gefolgt von einem Install bei passenden Versionen.
Das große Problem folgt aber an anderer Stelle: Zertifizierung. Kein freigegebener Treiber, kein Support der Software Hersteller.
Patche und du verlierst den Support. Oder patche nicht und riskiere einen Angriff.
Grüße,
Philip
Zitat von @122990:
Moin,
mit Powershell kommst du auch so an die Version von NVIDIA Karten:
Gruß grexit
Moin,
mit Powershell kommst du auch so an die Version von NVIDIA Karten:
> gwmi Win32_VideoController -Filter "Caption like '%NVIDIA%'" | select Caption,DriverVersion
> Dito. Gefolgt von einem Install bei passenden Versionen.
Das große Problem folgt aber an anderer Stelle: Zertifizierung. Kein freigegebener Treiber, kein Support der Software Hersteller.
Patche und du verlierst den Support. Oder patche nicht und riskiere einen Angriff.
Grüße,
Philip
Guter Tipp, danke. Und Eigenerfahrung mit der Verteilung von nvidias Treiber? Silent-Install von Driver-only ohne den restlichen Bloat? Vielleicht hat ja jemand noch etwas in der Schublade.
@psannz: darum müssen wir uns keine Gedanken machen. Wir hatten in 15 Jahren CAD noch nie ein Problem, dass sich an einem nicht zertifizierten Treiber festmachen ließ. Ich lege auf diese Zertifizierungen keinen Wert mehr.
@psannz: darum müssen wir uns keine Gedanken machen. Wir hatten in 15 Jahren CAD noch nie ein Problem, dass sich an einem nicht zertifizierten Treiber festmachen ließ. Ich lege auf diese Zertifizierungen keinen Wert mehr.
Macht ihr euch über sowas Gedanken? Ich habe weitaus weniger Streß das ein DAU sich ungewollten administrativen Zugriff auf eine Büchse verschafft die problemlos in einer Stunde mit Image wieder neu installiert ist als das er versehentlich Produktivdaten löscht auf die er leider Schreibrechte haben muss.
Macht ihr euch über sowas Gedanken?
Offensichtlich wohl. Wir haben solche Auflagen (Militär).
Und was wenn er die Kiste klaut und mit nach Hause nimmt?
Ich weiß natürlich nicht wie die Auflagen genau aussehen, ich versuche nur mein zu betreuendes Netzwerk unter allen möglichen Kriterien zu bewerten und Informationen zu sammeln, dort liegen die größten Probleme eher nicht bei Menschen, die die Fähigkeit besitzen Exploits in Treibern auszunutzen.
Dazu müssten sie ja erstmal an den Rechner rankommen und wenn das der Fall ist, ist wahrscheinlich in deinem Netzwerk auch schon was schief gelaufen.
Ich weiß natürlich nicht wie die Auflagen genau aussehen, ich versuche nur mein zu betreuendes Netzwerk unter allen möglichen Kriterien zu bewerten und Informationen zu sammeln, dort liegen die größten Probleme eher nicht bei Menschen, die die Fähigkeit besitzen Exploits in Treibern auszunutzen.
Dazu müssten sie ja erstmal an den Rechner rankommen und wenn das der Fall ist, ist wahrscheinlich in deinem Netzwerk auch schon was schief gelaufen.
Es geht nicht um die angriffslustige Putze, sondern um die Auflage,bestehenden Nutzern nach Möglichkeit exploitfreie Rechner zu bieten, nicht zuletzt, weil die Nutzer selbst keine Adminrechte bekommen sollen, auch nicht, wenn sie das Knowhow hätten. - zu Hause? Was soll er damit nun zu Hause machen, was er in der Firma nicht auch kann? Ist verschlüsselt, kann er auch zu Hause nicht anders benutzen als in der Firma. Bitlocker mit TPM, kein Offline-Mounten möglich. Aber wir schweifen ab.
Zwischenstand: wird wohl auf wsus package publisher hinauslaufen, dieser kann ja anhand von Dateiversionen und WMI-Abfragen handeln.
Zum Befehl: http://www.drwindows.de/windows-8-allgemein/80392-nvidia-treiber-silent ... liefert
(wir nutzen nur den Treiber, keine Zusätze).
Zum Befehl: http://www.drwindows.de/windows-8-allgemein/80392-nvidia-treiber-silent ... liefert
1.) Treiber mit 7-zip entpacken
2.) Alle Verzeichnisse löschen, außer "Display.Driver" und "NVI2".
3.) Im entpackten Ordner sollte jetzt nur noch Folgendes zu sehen sein:
Code:
24.10.2014 14:53 <DIR> .
24.10.2014 14:53 <DIR> ..
18.10.2014 00:21 <DIR> Display.Driver
18.10.2014 00:22 <DIR> NVI2
16.10.2014 18:54 15.086 EULA.txt
16.10.2014 18:54 21.904 license.txt
16.10.2014 18:54 130.181 ListDevices.txt
16.10.2014 18:54 29.252 setup.cfg
16.10.2014 18:54 412.992 setup.exe
4.) Die Installation erfolgt nun mit dem Befehl:
setup.exe /passive /nosplash /noeula /clean /noreboot
So, nun wird's interessant. Ich habe mit LUP (fast das Selbe wie der WSUS package publisher) ein Paket für WSUS erstellt, was auch detektiert und samt aller nötigen Dateien auf den Testrechner geladen wird. Setup startet auch, das sehe ich im Taskmanager. Es bricht jedoch direkt nach der Detektionsphase ab. Mir scheint, man kann das Graka-Setup von Nvidia nicht auf diese Weise installieren. Mache ich das selbe als Systemkonto, über die selbe Kommandozeilensyntax, dann gelingt es. Unterschied: man sieht das UI und das scheint der Installationsroutine viel zu bedeuten.
Ok, abgehakt, nächster Versuch Startskript.
Ok, abgehakt, nächster Versuch Startskript.
Startskript klappt auch nicht.
