ASUS Live Update verbreitete Schadsoftware


ASUS Live Update verbreitete Schadsoftware

25. März 2019

Beschreibung

Die IT-Sicherheitsfirma Kaspersky hat einen Artikel veröffentlicht
der besagt, dass die Update-Infrastruktur der Computerherstellerfirma ASUS von
Juni 2018 bis November 2018 zumindest teilweise von Kriminellen kontrolliert
wurde, die dadurch über das Tool „ASUS Live Update“ Schadsoftware verbreiten konnten.

Die Kriminellen konnten die bösartigen Updates mit legitimen
ASUS-Zertifikaten signieren, weshalb Nutzer keine Sicherheitswarnungen bei
der Installation angezeigt bekamen.

Laut einem Artikel des PC-Magazins Motherboard bestätigte auch die
IT-Securityfirma Symantec, dass Nutzer ihrer Software, die „ASUS Live Update“
nutz(t)en, von dem Angriff betroffen sind.

Kaspersky gibt an, dass von den 57.000 Infektionen, die sie auf Systemen auf
denen Kaspersky-Software installiert ist, analysiert haben, etwa 2% auf
Österreich entfallen.

Auswirkungen

Kriminelle können legitime Programme durch Schadsoftware ersetzen und
im schlimmsten Fall den gesamten Computer übernehmen.

Betroffene Systeme

Potentiell alle Systeme, die „ASUS Live Update“ installiert haben
und darüber Updates für Applikationen, Treiber und Firmware (BIOS,
UEFI) erhalten.

Bei dem Angriff handelte es sich um eine mehrstufige Schadsoftware und nur
die erste Stufe wurde großflächig ausgerollt. Diese
überprüft, ob das befallene System eine von mehr als 600 MAC Adressen hat und
kontaktiert im Falle eines Treffers einen Command & Control Server. Dennoch
dürfte die Schadsoftware in jedem Fall Backdoorfunktionalität
aufweisen.

Abhilfe

Derzeit ist CERT.at kein Weg bekannt, die Schadsoftware sicher und
vollständig zu entfernen. Eine vollständige Neuinstallation des Betriebssystems scheint
derzeit die beste Möglichkeit zu sein, aber da „ASUS Live Update“
auch Treiber und BIOS/UEFI aktualisiert, garantiert selbst diese Maßnahme keine
absolute Sicherheit.

Kaspersky hat ein Tool
veröffentlicht mit dessen Hilfe man herausfinden kann, ob die eigene
MAC-Adresse unter denjenigen ist, die von der Malware gesucht werden. Dasselbe
erreicht man auch über eine
von Kaspersky zur Verfügung gestellte Webseite
.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend
updaten – die aktuelle Version ist immer via https://cert.at/
abrufbar.

Hinweis

Generell empfiehlt CERT.at dennoch, wo möglich die „automatisches
Update“-Features von Software zu nutzen, parallel Firewall-Software aktiv und
den Virenschutz aktuell zu halten.


Informationsquelle(n):

Beitrag auf Securelist (englisch)
https://securelist.com/operation-shadowhammer/89992/
Beitrag auf Motherboard (englisch)
https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers

Weiterlesen: Cert.at

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.