[Warning] ASUS Live Update verbreitete Schadsoftware

Stephan Richter richter at cert.at
Mon Mar 25 18:57:14 CET 2019


25. März 2019

Beschreibung

Die IT-Sicherheitsfirma Kaspersky hat einen Artikel veröffentlicht der
besagt, dass die Update-Infrastruktur der Computerherstellerfirma ASUS
von Juni 2018 bis November 2018 zumindest teilweise von Kriminellen
kontrolliert wurde, die dadurch über das Tool "ASUS Live Update"
Schadsoftware verbreiten konnten.

Die Kriminellen konnten die bösartigen Updates mit legitimen
ASUS-Zertifikaten signieren, weshalb Nutzer keine Sicherheitswarnungen
bei der Installation angezeigt bekamen.

Laut einem Artikel des PC-Magazins Motherboard bestätigte auch die
IT-Securityfirma Symantec, dass Nutzer ihrer Software, die "ASUS Live
Update" nutz(t)en, von dem Angriff betroffen sind.

Kaspersky gibt an, dass von den 57.000 Infektionen, die sie auf
Systemen auf denen Kaspersky-Software installiert ist, analysiert
haben, etwa 2% auf Österreich entfallen.

Auswirkungen

Kriminelle können legitime Programme durch Schadsoftware ersetzen und
im schlimmsten Fall den gesamten Computer übernehmen.

Betroffene Systeme

Potentiell alle Systeme, die "ASUS Live Update" installiert haben und
darüber Updates für Applikationen, Treiber und Firmware (BIOS, UEFI)
erhalten.

Bei dem Angriff handelte es sich um eine mehrstufige Schadsoftware und
nur die erste Stufe wurde großflächig ausgerollt. Diese überprüft, ob
das befallene System eine von mehr als 600 MAC Adressen hat und
kontaktiert im Falle eines Treffers einen Command & Control Server.
Dennoch dürfte die Schadsoftware in jedem Fall Backdoorfunktionalität
aufweisen.

Abhilfe

Derzeit ist CERT.at kein Weg bekannt, die Schadsoftware sicher und
vollständig zu entfernen. Eine vollständige Neuinstallation des
Betriebssystems scheint derzeit die beste Möglichkeit zu sein, aber da
"ASUS Live Update" auch Treiber und BIOS/UEFI aktualisiert, garantiert
selbst diese Maßnahme keine absolute Sicherheit.

Kaspersky hat ein Tool[1] veröffentlicht mit dessen Hilfe man
herausfinden kann, ob die eigene MAC-Adresse unter denjenigen ist, die
von der Malware gesucht werden. Dasselbe erreicht man auch über eine
von Kaspersky zur Verfügung gestellte Webseite[2].

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle
Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at dennoch, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
 __________________________________________________________________

Informationsquelle(n):
Beitrag auf Securelist (englisch)
https://securelist.com/operation-shadowhammer/89992/
Beitrag auf Motherboard (englisch)
https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers

[1] https://kas.pr/shadowhammer
[2] https://shadowhammer.kaspersky.com/


-- 
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20190325/c02d1a84/attachment.sig>


More information about the Warning mailing list