Início / computer / Perguntas / 1548107
Accepted
chrips
Asked: 2020-05-03 16:03:37 +0800 CST

Por que o Intel Graphic Command Center deixa um endpoint da web escutando na porta 9001 no host local?

  • 772

Descobri que o processo do meu sistema (PID 4) era o que ouvia no 9001 (v4 e v6).

Telnet para ele, ::1:9001digite um char e pressione enterI see this:

HTTP/1.1 400 Bad Request
  Content-Type: text/html; charset=us-ascii
  Server: Microsoft-HTTPAPI/2.0
  Date: Sat, 02 May 2020 21:47:28 GMT
  Connection: close
  Content-Length: 326
  Bad Request

Está aguardando uma solicitação da web…

Eu descobri com esta outra pergunta: Porta 9001 usada pelo Microsoft-HTTPAPI/2.0

Para corrernetsh http show servicestate

Server session ID: FF00000020000001
    Version: 2.0
    State: Active
    Properties:
        Max bandwidth: 4294967295
        Timeouts:
            Entity body timeout (secs): 120
            Drain entity body timeout (secs): 120
            Request queue timeout (secs): 120
            Idle connection timeout (secs): 120
            Header wait timeout (secs): 120
            Minimum send rate (bytes/sec): 150
    URL groups:
    URL group ID: FE00000040000001
        State: Active
        Request queue name: Request queue is unnamed.
        Properties:
            Max bandwidth: inherited
            Max connections: inherited
            Timeouts:
                Timeout values inherited
            Number of registered URLs: 1
            Registered URLs:
                    HTTP://+:9001/IGCC/SERVICE/

Então eu vejo isso:

Request queues:
    Request queue name: Request queue is unnamed.
        Version: 2.0
        State: Active
        Request queue 503 verbosity level: Basic
        Max requests: 1000
        Number of active processes attached: 1
        Process IDs:
            4741

E abaixo de "Filas de solicitação", encontrei dois PIDs. Um PID, 4741, OneApp.IGCC.WinService.exeé o Intel Graphics Command Center.

Para que o Intel Graphics Command Center precisa de uma porta http de escuta? Na minha rede local, posso acessar o endpoint xxx.xxx.xxx.xxx:9001, então parece uma vulnerabilidade com certeza.

É melhor remover determinados softwares da Intel?

http process

1 respostas

  1. Best Answer

    Esta é uma forma de comunicação entre processos , usando a rede como um intermediário.

    Os processos não são capazes de se comunicar uns com os outros, sem alguma forma de interface compartilhada, e a Intel optou por implementar um serviço baseado na web que permite que o software cliente se comunique com um serviço do Windows.

    Desde o advento do UAC e do acesso limitado do usuário, a MS recomendou que os desenvolvedores de software implementassem os serviços do Windows para executar tarefas privilegiadas e usar aplicativos de espaço do usuário como clientes que comunicam seus desejos ao serviço. Isso permite que o usuário execute tarefas privilegiadas bem controladas sem a necessidade de acesso administrativo.

    Nesse caso, configurar ou atualizar o comportamento de um driver é uma atividade que requer administrador, então o cliente apenas pede ao serviço do Windows para executar essas tarefas.

    Uma outra observação: como a porta está vinculada a 127.xyz, ela não pode ser acessada por nenhuma outra estação. é limitado ao host local, portanto, as portas somente locais não são uma grande preocupação de segurança do ponto de vista da rede, embora o software malicioso em seu sistema possa acessar o serviço, se a Intel não fizer um bom trabalho com a autenticação. como todo software, você precisa confiar nas pessoas que o escreveram.

    • 2

relate perguntas