Opět tu máme zprávu o bezpečnostní patálii. Když jsme před časem psali o mechanismu Asusu, kterým jeho desky automaticky instalují ovladače do Windows, mluvilo se o bezpečnostních rizicích takové funkce. A právě u Asusu byl nyní systém aktualizací ovladačů skutečně zkompromitován, ovšem ne tento nový, ale klasický se stahováním z internetu. Přímo na servery firmy se totiž dostali hackeři a distribuovali odtud oficiálním aktualizačním kanálem do počítačů zákazníků malware. Ten si dokonce podepsali legitimními certifikáty Asusu, takže velkému množství zákazníků ho zřejmě aktualizační aplikace automaticky nainstalovala do PC.
Servery Asusu ovládli hackeři
Tako zkompromitována byla aplikace Asus Live Update, kterou možná máte i na svém notebooku nebo PC s deskou od Asusu. Tento nástroj slouží ke stahování nových verzí ovladačů a někdy i BIOSů, které pak i instaluje do systému. Zatím asi neznámí hackeři ale na několik měsíců získali kontrolu nad aktualizačními servery, s nimiž Live Update komunikuje, a distribuovali z nich zákazníkům Asusu automaticky malware. Navíc se dostali ke klíči (respektive dvěma, z nichž jeden mezitím expiroval), kterým Asus aktualizace podepisuje a Live Update podle nich kontroluje jejich autenticitu.
Vinou toho vypadaly škodlivé aktualizace legitimně a systém je vesele instaloval. Aktualizacím od výrobce zařízení navíc uživatelé typicky věří – o to víc, pokud je stahuje aplikace a nejsou přímo z webu. Průnik hackerů na server Asusu tak měl vysokou nebezpečnost. Ukazuje rovněž, jak citlivá taková infrastruktura může být a že ani kontrolování digitálního podpisu nemůže vždycky zabránit napadení.

Co malware instalovaný v aktualizacích dělal?
Šlo o backdoor, který zřejmě cílil na specifické počítače, takže asi nešlo o úplně běžnou kriminalitu. V počítačích, do kterých se malware od Asusu dostal, pátral po specifických MAC adresách síťových karet. MAC je tzv. fyzická adresa přiřazená síťovému rozhraní z výroby, jež má být unikátní a lze podle ní vystopovat konkrétní PC. Útočníci měli zdá se seznam počítačů, do kterých se chtěli dostat, pokud danou MAC adresu malware našel, kontaktoval centrální servery útočníků a stáhl z nich do PC další malware pro následné útoky. Díky tomu, že se malware snažil svou hlavní činnost omezit jen na menší množství pro něj zajímavých počítačů, zřejmě déle unikal odhalení.

Malware se ze serverů Asusu šířil aspoň pět měsíců
Že Asus takto nechtěně šíří malware, odhalila firma Kaspersky Lab až letos 29. ledna. Útok se stal loni a než Kaspersky na průnik upozornil, údajně měli hackeři aktualizace pod kontrolou minimálně pět měsíců a podle odhadů mohli backdoorem infikovat až půl milionu počítačů s Windows (pro Linux taková aktualizační aplikace od Asusu není). Podle Kaspersky ale ono druhé stádium, tedy když hackeři našli jednu z hledaných MAC adres, utrpělo méně napadených počítačů, jen okolo 600. Ovšem samozřejmě zůstává riziko, že i základní stupeň napadení mohl časem škodit dál. Úplně všechny infikované PC totiž obsahují backdoor, který může útočník využít, pokud bude chtít.
Nezávisle tento incident potvrdil také Symantec, jenž stejnou nákazu našel v nejméně 13 000 počítačích klientů; Kaspersky po prvním objevu stejnou signaturu nákazy našel u 57 000 uživatelů svého antiviru, nejvíce nakažených PC bylo v Rusku, Německu, Francii (ovšem pozor, to samozřejmě vyplývá z velikosti zemí, takže ani u nás nejspíš bezpečno nebylo). U Symantecu zase bylo 15 % uživatelů z USA. Také podle této firmy byly aktualizace s trojským koněm podepsány validním klíčem Asusu.
Další průšvihy na cestě?
Kaspersky další informace o tomto malware zveřejní na Security Analyst Summit v Singapuru příští měsíc. Kromě toho ale údajně Kaspersky zaregistroval podobný útok i na další výrobce hardwaru (kteří už jsou informování), takže je možné, že se brzo provalí další průšvihy tohoto střihu. Snad méně závažné, ale evidentně je na čase být ostražitý a omezit důvěru v podobné aktualizační kanály. Pokud vám stačí ovladače instalovat přes Windows Update, budete asi ve větším bezpečí.
(Symantec:) We saw the updates come down from the Live Update ASUS server. They were trojanized, or malicious updates, and they were signed by ASUS.
Situaci zhoršila pomalá reakce Asusu
Asus bohužel nereagoval nijak čile, zaměstnanec firmy se s Kaspersky osobně kontaktoval po 14 dnech (14. února, Kaspersky informoval Asus 31. ledna). Jinak ale Asus příliš nereagoval a také nijak nevaroval své zákazníky. A co je ještě horší, společnost ještě měsíc poté, co informaci dostala, stále podepisovala vlastní aktualizace stejným klíčem, kteří útočníci získali a zneužívali. A klíče až dokonce do tohoto týdne, kdy o problému začala ve velké míře psát média, vůbec nezneplatnil. Tímto lajdáctvím mohl umožnit další šíření malwaru a útočníci mohli po celou dobu využívat tento klíč k podepisování dalších škodlivých programů, které pak v očích zákazníků mohly vypadat legitimně a projít bez varování instalací na PC.
Asus nyní po publikování článků oznámil, že v nové verzi Live Update 3.6.8 posílil zabezpečení například použitím end-to-end šifrování (a doufejme už konečně zneplatnil zkompromitované ukradené klíče) a také by mělo být vylepšeno ověřování souborů. Šifrování ovšem samozřejmě nevyřeší situaci, kdy „důvěryhodný“ server přímo v infrastruktuře Asusu ovládne útočník. Klíčem k bezpečnosti bude tedy i pořádné zabezpečení a kontrola na straně výrobců hardwaru/softwaru. I tam údajně Asus učinil opatření k posílení bezpečnosti, ale jaká přesně, nespecifikoval.
Aktualizováno:
V prohlášení k incidentu má Asus také odkaz na nástroj, který by vám po stažení a spuštění měl sdělit, zda vás infekce ze serverů Live Update postihla, nebo ne. Najdete ho na tomto odkazu.
Nuž ten kto používa tieto online auto instalery je sám na vine. Inak samozrejme poriadny púser od Asusu …
Co chtít od firmy která je vrchním sponzorem garážníka. I když to je vizitka spíše českého zastoupení. Ale i tak.
Mně se vždycky „líbí“ česká závist a obviňování druhých jak jsou špatní a že nic neumí. Ale když se na PCT hledali (a stále hledají) autoři, tak nikde nikdo 🙂
Závist? Obviňování? A proč bych jako měl dělat autora na PCT?
Protože ta věta je dost zavádějící „vrchním sponzorem garážníka. I když to je vizitka spíše českého zastoupení.“
Vizitka a ukázka inteligence lidí z českého zastoupení, které podporuje tento hodně kontroverzní blog. Nevím jestli to mají zapotřebí.
No sponzorují ho nejen (my) Asus, ale i MSI, Gigabyte a další.
Otázkou vždycky je úhel pohledu na onu kontroverznost. Já osobně mám rád OBRA, i když je taky kontroverzní, ale má zkušenosti i znalost. I když si rýpne do AMD a nebo do někoho, kdo ho v poslední době něčím naštval.
A naštěstí webů máme v ČR několik, takže si člověk má z čeho vybrat a pokud někoh něco čílí, je lepší se tomu vyhnout a nečíst to 🙂
Jako ok, ale já jako čtenář tam vidím většinovou reklamu od Asusu.
A „držet hubu a krok“, to opravdu ne. Dokud to bude veřejné informační médium a dokud bude jeho „majitel“ zveřejňovat polopravdy a nepravdy a pokud bude lidi s jiným názorem mazat a banovat, tak s ním budu bojovat. A jediným možným bojem je v tomto případě upozorňování na jeho chování na jiných webech. Bohužel.
buďme rádi, že vůbec ASUS dává něco na recenze. Taky by náš trh mohli ignorovat.
Speedy je skrytý příznivce DDemagoga a šíří mu reklamu napříč českým internetem!
Nepouzivam, ale dalsi hrebicek do rakve Asusu, dneska uz naprosto prazdna firma, jenom znacka, nic vic, desku uz si od nich rozhodne nekoupim.
zase plácáš ty svoje zapšklé bláboly … akciové trhy si o Asus myslí něco jiné než ty. Výrobky mají špičkové, nekazí se … a že je bordel v softu, resp. v některých programech, ty jsou volitelné, můžeš, nemusíš … takže to co řešíš, je relevantní možná pro tebe, nic víc …
Kluci, chtělo by to updatovat článek 🙂 Již opraveno.
https://www.asus.com/News/hqfgVUyZ6uyAyJe1
To už tam máme, ale přidám ten nástroj na detekci.
Díky 🙂
Léta letoucí jsem všude psal, že Asus je Aušus a nesmí mi do baráku. Nikdo mi nevěřil, všichni mě hejtovali. Říkali: „Vždyť oni mají super BIOSy na to se nic nechytá! Crho vůbec tomu nerozumíš ! Zase píšeš kraviny a demagogie ! “ Na diit mě žrali a cupovlai na cucky, že Asus je nejlepší.
Tak tady to máte: CRHA MĚL ZASE PRAVDU !!! Zlaté MSI…
Myslis toho smejda, co mu rok trvalo nez opravil BIOS, aby to konecne zacalo umet usporny stav Intel procesoru?
S MSI mam sve zkusenosti, uz to nechci, je teda dost tragedie, ze Asus je smejd uz taky, Gigabyte mi nesmi pres prah bytu od doby co nadesignovali desku tak, ze byl po ceste ze zvukoveho cipu slyset brum. Sakra ja nemam uz co za desku koupit!
supermicro se chystá na běžné desktopové desky
Crho, biosy super mají … jak můžeš o tom něco vědět a přiblble komentovat, když ti nesmí do domu? 😀 Měls hovno, ne pravdu, ani nevíš, o čem se v článku píše …
biosy mají super a za pár let zjístíte, že to je plné backdorů a malvere přimo v BIOSu vy chytrolíni. Jeď za Merklovou do Bruselu olízat jí rodidla a nepiš tady hlouposti, dík.
opět fail … mám desku, zvukovku, g kartu, bios instaluji sám … co by v něm tak asi mohlo být?
Možná bys mohl prozradit, která že je to firma, které hardware v klidu požíváš a která ti na 100% zaručuje, že se tě podobný problém netýká …
MSI už jsem to jednou psal. A ty si ty biosy píšeš sám, že víš co si tam instaluješ ty tydýte ?
proti MSI nemám nic, snad kromě pár záležitostí s chlazením grafik, notebooků, ale ani MSI ti nezaručí, že je nenabourají …
Pane Olsane, certifikatem se nic nepodepisuje, pekne prosim. Podepisuje se klicem. Certifikat vydavate nejakemu subjektu a tento muze vydat kdokoliv. Duveryhodnost je pak prave posuzovana na zaklade podepisujiciho, kteryzto muze byt bud globalne overeny (Verisign napr.), nebo lokalne (spolecnosti jako je Asus, ktera je globalne overena). Pokud by vydal a podepsal certifikat kdokoliv, kdo globalni overeni nema, dany SW by mel vyhodit varovani typu “untrusted certificate”.
A ted k Aususu. Jejich laxnisti uz jsem si vsimnul davno a prave kvuli chybejicimu supportu se temto vyrobkum vyhybam. Je to sice smutne, ale myslim si, ze ani tento zavazny incident jejich pristup nezmeni.
Olšan to ví, akorát se asi nechtěl rozepisovat, takže … k tomu supportu ASUS … asi je to otázka osobní zkušenosti. Třeba zvukovku jsem kupoval od ASUS právě kvůli perfektní soft podpoře, na win 10 neměla nikdy žádný problém, na rozdíl od creative a spol … základní desky detto. Za 4 roky nebyl sebemenší problém , takže …možná ty máš jinou zkušenost …
další věc … tento problém se týká notebooků … kolik procent uživatelů používá autoaktualizace? Na noteboocích snad nikdo, tedy kromě pár neznalých problematiky. Asus nezakazuje instalaci softu, driverů třetích stran jako třeba HP …
OK, ja jsem mel zkusenosti s par ntb a 1 premiovym tabletem. Vic uz jsem nezkousel. Co mi ale vadi, je ignorace bezpecnosti, jen nezodpovedna firma muze nechat zajit situaci tak daleko. A je uplne jedno, jestli ma 1, nebo 10000 produktu.
Na druhe strane jsem ochotny uznat, ze po strance HW jsem s Asusem problem nemel, nikdy mi nic neumrelo.
Ah, díky, terminologii u tohohle zrovna moc neznám.
Právě že support co do biosů je top. A ty premiovejsi produkty mají pak takové funkce a support, jako žádné jiné. Však třeba mrkněte na bios módy na OCN.net. A na speciální OC a RAM profily u desek, nejen obyc xmp….
Jenže zavděčit se všem nejde. A lidi nechápou ani, že tým několika lidí nemůže vyhovět všem individuálně. Dnes je nejen bios, ale i vzájemná kompatibilita někde zcela jinde než třeba před 10 lety. Zařízeních jsou stovky ne li tisíce. A to opravdu není sranda mít vše pokryté. A ještě se leccos liší dle OS.
mám ranger viii a raid dlx …
„Zařízeních jsou stovky ne li tisíce.“ Mít desítky modelů MB pro jediný chipset (např. Z390) situaci zrovna nepomáhá. Místo modelů „s jinou barvou chladičů“ příště snížit jejich počet a o to více se jednotlivým věnovat. Třeba pak zbyde víc zdrojů/času na zabezpečení.
základních desek se to vůbec netýká …
Přesně jak píše Gogo, základovek se to vůbec netýká, ale čistě jen se to týkalo notebooků
Dnešní doba mít desítky modelů je prostě nutnost, má to i Gigabyte, i MSI. Čili tři první výrobci na poli desek. Ani ASRock jich nemá málo jako dcerka Asusu.
Tipnul bych si, že megalomanská nabídka je sdílenou politikou v rámci koncernu (odvětví). Pak se diví, že nemohou srovnat krok s vnímáním HW od Apple, který daleko větší prostředky/pozornost věnuje méně produktům.
však za ty peníze, bodejť by nevěnovali …