{"id":45402,"date":"2019-03-26T08:26:08","date_gmt":"2019-03-26T07:26:08","guid":{"rendered":"https:\/\/www.planet3dnow.de\/cms\/?p=45402"},"modified":"2019-03-26T17:38:37","modified_gmt":"2019-03-26T16:38:37","slug":"shadowhammer-asus-live-update-soll-schadsoftware-ausgeliefert-haben","status":"publish","type":"post","link":"https:\/\/www.planet3dnow.de\/cms\/45402-shadowhammer-asus-live-update-soll-schadsoftware-ausgeliefert-haben\/","title":{"rendered":"ShadowHammer \u2014 ASUS<\/span> Live Update soll Schadsoftware ausgeliefert haben"},"content":{"rendered":"

Nach Anga\u00adben von Kas\u00adpers\u00adky Labs<\/a> wur\u00adde die Update-Infra\u00adstruk\u00adtur von ASUS<\/span> Live Update \u2014 ein Tool zur Aktua\u00adli\u00adsie\u00adrung von BIOS<\/span>, Trei\u00adbern und Anwen\u00addun\u00adgen \u2014 von Juni 2018 bis Novem\u00adber 2018 zumin\u00addest teil\u00adwei\u00adse von Kri\u00admi\u00adnel\u00adlen kon\u00adtrol\u00adliert, die dadurch Schad\u00adsoft\u00adware ver\u00adbrei\u00adten konn\u00adten. Die Anga\u00adben wur\u00adden vom US-Unter\u00adneh\u00admen Syman\u00adtec best\u00e4\u00adtigt und CERT<\/span>.at hat bereits eine War\u00adnung<\/a> her\u00adaus\u00adge\u00adge\u00adben. Kas\u00adpers\u00adky zufol\u00adge sol\u00adlen zwar nur bestimm\u00adte Rech\u00adner \u00fcber die MAC-Adres\u00adse Ziel die\u00adser \u201cShadowHam\u00admer\u201d genann\u00adten Atta\u00adcke gewe\u00adsen sein, aber die Soft\u00adware von drei ande\u00adren bis\u00adlang unge\u00adnann\u00adten Unter\u00adneh\u00admen soll in \u00e4hn\u00adli\u00adcher Wei\u00adse betrof\u00adfen sein.<\/p>\n

The tro\u00adja\u00adni\u00adzed uti\u00adli\u00adty was signed with a legi\u00adti\u00adma\u00adte cer\u00adti\u00adfi\u00adca\u00adte and was hos\u00adted on the offi\u00adci\u00adal ASUS<\/span> ser\u00adver dedi\u00adca\u00adted to updates, and that allo\u00adwed it to stay unde\u00adtec\u00adted for a long time. The cri\u00admi\u00adnals even made sure the file size of the mali\u00adcious uti\u00adli\u00adty stay\u00aded the same as that of the ori\u00adgi\u00adnal one. (Kas\u00adpers\u00adky)<\/p><\/blockquote>\n

Die Atta\u00adcke wur\u00adde im Janu\u00adar von Kas\u00adpers\u00adky ent\u00addeckt und am 31. Janu\u00adar an Asus gemel\u00addet. Bei Kas\u00adpers\u00adky wird gesch\u00e4tzt, dass welt\u00adweit bis zu 500 000 PCs betrof\u00adfen sein k\u00f6nn\u00adten. Anhand eige\u00adner Soft\u00adware konn\u00adte man 57 000 kom\u00adpro\u00admit\u00adtier\u00adte Sys\u00adte\u00adme iden\u00adti\u00adfi\u00adzie\u00adren und sch\u00e4tzt das Pro\u00adblem gr\u00f6\u00ad\u00dfer ein als das mit CClea\u00adner im Jahr 2007. Von Syman\u00adtec wur\u00adden zus\u00e4tz\u00adli\u00adche 13 000 PCs iden\u00adti\u00adfi\u00adziert, die betrof\u00adfen sind.<\/p>\n

<\/a><\/p>\n

ASUS<\/span> Live Update erkennt neu auf der ASUS-Web\u00adsite ver\u00ad\u00f6f\u00adfent\u00adlich\u00adte Pro\u00adgramm\u00adver\u00adsio\u00adnen und aktua\u00adli\u00adsiert dann auto\u00adma\u00adtisch BIOS<\/span>, Trei\u00adber und Anwen\u00addun\u00adgen. Dadurch, dass die Ver\u00adsi\u00adon auf den Ser\u00advern von Asus kom\u00adpro\u00admit\u00adtiert war, waren die Updates mit legi\u00adti\u00admen ASUS-Zer\u00adti\u00adfi\u00adka\u00adten signiert, wes\u00adhalb Nut\u00adzer kei\u00adne Sicher\u00adheits\u00adwar\u00adnun\u00adgen bei der Instal\u00adla\u00adti\u00adon ange\u00adzeigt beka\u00admen. Genaue\u00adre Infor\u00adma\u00adtio\u00adnen zum Vor\u00adge\u00adhen will Kas\u00adpers\u00adky auf der im n\u00e4chs\u00adten Monat statt\u00adfin\u00adden\u00adden Secu\u00adri\u00adty Ana\u00adlyst Sum\u00admit<\/a> in Sin\u00adga\u00adpo\u00adre bekannt\u00adge\u00adben. Tech\u00adni\u00adsche Details zu der Atta\u00adcke hat man aber bereits auf einer Web\u00adsei\u00adte zusam\u00admen\u00adge\u00adfasst<\/a>.<\/p>\n

The goal of the attack was to sur\u00adgi\u00adcal\u00adly tar\u00adget an unknown pool of users, which were iden\u00adti\u00adfied by their net\u00adwork adap\u00adters\u2019 MAC<\/span> addres\u00adses<\/strong>. To achie\u00adve this, the atta\u00adckers had hard\u00adcoded a list of MAC<\/span> addres\u00adses in the tro\u00adja\u00adni\u00adzed samples and this list was used to iden\u00adti\u00adfy the actu\u00adal inten\u00added tar\u00adgets of this mas\u00adsi\u00adve ope\u00adra\u00adti\u00adon. We were able to extra\u00adct more than 600 uni\u00adque MAC<\/span> addres\u00adses from over 200 samples used in this attack. Of cour\u00adse, the\u00adre might be other samples out the\u00adre with dif\u00adfe\u00adrent MAC<\/span> addres\u00adses in their list. (Kas\u00adpers\u00adky)<\/p><\/blockquote>\n

Gem\u00e4\u00df CERT<\/span>.at ist zur Zeit kein Weg bekannt, die Schad\u00adsoft\u00adware sicher und voll\u00adst\u00e4n\u00addig zu ent\u00adfer\u00adnen. Dort emp\u00adfiehlt man eine voll\u00adst\u00e4n\u00addi\u00adge Neu\u00adin\u00adstal\u00adla\u00adti\u00adon des Betriebs\u00adsys\u00adtems, schr\u00e4nkt aber direkt ein, dass dies selbst die\u00adse Ma\u00df\u00adnah\u00adme kei\u00adne abso\u00adlu\u00adte Sicher\u00adheit garan\u00adtiert, da neben Trei\u00adbern eben auch BIOS<\/span>\/UEFI<\/span> aktua\u00adli\u00adsiert wur\u00adden. Bei Kas\u00adpers\u00adky exis\u00adtiert ein Tool<\/a>, dass die eige\u00adne MAC-Adres\u00adse mit den bis\u00adlang iden\u00adti\u00adfi\u00adzier\u00adten Zie\u00adlen abgleicht.<\/p>\n

While inves\u00adti\u00adga\u00adting this attack, we found out that the same tech\u00adni\u00adques were used against soft\u00adware from three other ven\u00addors. Of cour\u00adse, we have noti\u00adfied ASUS<\/span> and other com\u00adpa\u00adnies about the attack.<\/p><\/blockquote>\n

Neben Asus sol\u00adlen aber drei wei\u00adte\u00adre Unter\u00adneh\u00admen, die \u00e4hn\u00adli\u00adche Soft\u00adware ein\u00adset\u00adzen, betrof\u00adfen sein. Die\u00adse Fir\u00admen wur\u00adden infor\u00admiert, Namen sind bis\u00adlang aber nicht ver\u00ad\u00f6f\u00adfent\u00adlicht worden.<\/p>\n

Links zum Thema:<\/p>\n