Pozor. Asus Live Update bylo zkompromitováno, hackeři jím 5 měsíců šířili backdoor

34
Ilustrační foto

Opět tu máme zprávu o bezpečnostní patálii. Když jsme před časem psali o mechanismu Asusu, kterým jeho desky automaticky instalují ovladače do Windows, mluvilo se o bezpečnostních rizicích takové funkce. A právě u Asusu byl nyní systém aktualizací ovladačů skutečně zkompromitován, ovšem ne tento nový, ale klasický se stahováním z internetu. Přímo na servery firmy se totiž dostali hackeři a distribuovali odtud oficiálním aktualizačním kanálem do počítačů zákazníků malware. Ten si dokonce podepsali legitimními certifikáty Asusu, takže velkému množství zákazníků ho zřejmě aktualizační aplikace automaticky nainstalovala do PC.

 

Servery Asusu ovládli hackeři

Tako zkompromitována byla aplikace Asus Live Update, kterou možná máte i na svém notebooku nebo PC s deskou od Asusu. Tento nástroj slouží ke stahování nových verzí ovladačů a někdy i BIOSů, které pak i instaluje do systému. Zatím asi neznámí hackeři ale na několik měsíců získali kontrolu nad aktualizačními servery, s nimiž Live Update komunikuje, a distribuovali z nich zákazníkům Asusu automaticky malware. Navíc se dostali ke klíči (respektive dvěma, z nichž jeden mezitím expiroval), kterým Asus aktualizace podepisuje a Live Update podle nich kontroluje jejich autenticitu.

Vinou toho vypadaly škodlivé aktualizace legitimně a systém je vesele instaloval. Aktualizacím od výrobce zařízení navíc uživatelé typicky věří – o to víc, pokud je stahuje aplikace a nejsou přímo z webu. Průnik hackerů na server Asusu tak měl vysokou nebezpečnost. Ukazuje rovněž, jak citlivá taková infrastruktura může být a že ani kontrolování digitálního podpisu nemůže vždycky zabránit napadení.

Asus ROG Strix B250G Gaming

Co malware instalovaný v aktualizacích dělal?

Šlo o backdoor, který zřejmě cílil na specifické počítače, takže asi nešlo o úplně běžnou kriminalitu. V počítačích, do kterých se malware od Asusu dostal, pátral po specifických MAC adresách síťových karet. MAC je tzv. fyzická adresa přiřazená síťovému rozhraní z výroby, jež má být unikátní a lze podle ní vystopovat konkrétní PC. Útočníci měli zdá se seznam počítačů, do kterých se chtěli dostat, pokud danou MAC adresu malware našel, kontaktoval centrální servery útočníků a stáhl z nich do PC další malware pro následné útoky. Díky tomu, že se malware snažil svou hlavní činnost omezit jen na menší množství pro něj zajímavých počítačů, zřejmě déle unikal odhalení.

Asus ZenBook 13 (2018)
Live Update používají i notebooky Asusu, které byly také ohrožené

Malware se ze serverů Asusu šířil aspoň pět měsíců

Že Asus takto nechtěně šíří malware, odhalila firma Kaspersky Lab až letos 29. ledna. Útok se stal loni a než Kaspersky na průnik upozornil, údajně měli hackeři aktualizace pod kontrolou minimálně pět měsíců a podle odhadů mohli backdoorem infikovat až půl milionu počítačů s Windows (pro Linux taková aktualizační aplikace od Asusu není). Podle Kaspersky ale ono druhé stádium, tedy když hackeři našli jednu z hledaných MAC adres, utrpělo méně napadených počítačů, jen okolo 600. Ovšem samozřejmě zůstává riziko, že i základní stupeň napadení mohl časem škodit dál. Úplně všechny infikované PC totiž obsahují backdoor, který může útočník využít, pokud bude chtít.

Nezávisle tento incident potvrdil také Symantec, jenž stejnou nákazu našel v nejméně 13 000 počítačích klientů; Kaspersky po prvním objevu stejnou signaturu nákazy našel u 57 000 uživatelů svého antiviru, nejvíce nakažených PC bylo v Rusku, Německu, Francii (ovšem pozor, to samozřejmě vyplývá z velikosti zemí, takže ani u nás nejspíš bezpečno nebylo). U Symantecu zase bylo 15 % uživatelů z USA. Také podle této firmy byly aktualizace s trojským koněm podepsány validním klíčem Asusu.

Asus N3050T

Další průšvihy na cestě?

Kaspersky další informace o tomto malware zveřejní na Security Analyst Summit v Singapuru příští měsíc. Kromě toho ale údajně Kaspersky zaregistroval podobný útok i na další výrobce hardwaru (kteří už jsou informování), takže je možné, že se brzo provalí další průšvihy tohoto střihu. Snad méně závažné, ale evidentně je na čase být ostražitý a omezit důvěru v podobné aktualizační kanály. Pokud vám stačí ovladače instalovat přes Windows Update, budete asi ve větším bezpečí.

(Symantec:) We saw the updates come down from the Live Update ASUS server. They were trojanized, or malicious updates, and they were signed by ASUS.

Situaci zhoršila pomalá reakce Asusu

Asus bohužel nereagoval nijak čile, zaměstnanec firmy se s Kaspersky osobně kontaktoval po 14 dnech (14. února, Kaspersky informoval Asus 31. ledna). Jinak ale Asus příliš nereagoval a také nijak nevaroval své zákazníky. A co je ještě horší, společnost ještě měsíc poté, co informaci dostala, stále podepisovala vlastní aktualizace stejným klíčem, kteří útočníci získali a zneužívali. A klíče až dokonce do tohoto týdne, kdy o problému začala ve velké míře psát média, vůbec nezneplatnil. Tímto lajdáctvím mohl umožnit další šíření malwaru a útočníci mohli po celou dobu využívat tento klíč k podepisování dalších škodlivých programů, které pak v očích zákazníků mohly vypadat legitimně a projít bez varování instalací na PC.

Asus nyní po publikování článků oznámil, že v nové verzi Live Update 3.6.8 posílil zabezpečení například použitím end-to-end šifrování (a doufejme už konečně zneplatnil zkompromitované ukradené klíče) a také by mělo být vylepšeno ověřování souborů. Šifrování ovšem samozřejmě nevyřeší situaci, kdy „důvěryhodný“ server přímo v infrastruktuře Asusu ovládne útočník. Klíčem k bezpečnosti bude tedy i pořádné zabezpečení a kontrola na straně výrobců hardwaru/softwaru. I tam údajně Asus učinil opatření k posílení bezpečnosti, ale jaká přesně, nespecifikoval.

Aktualizováno:

V prohlášení k incidentu má Asus také odkaz na nástroj, který by vám po stažení a spuštění měl sdělit, zda vás infekce ze serverů Live Update postihla, nebo ne. Najdete ho na tomto odkazu.


Pozor. Asus Live Update bylo zkompromitováno, hackeři jím 5 měsíců šířili backdoor
Ohodnoťte tento článek!
4.2 (84.29%) 14 hlas/ů

34 KOMENTÁŘE

            • No sponzorují ho nejen (my) Asus, ale i MSI, Gigabyte a další.
              Otázkou vždycky je úhel pohledu na onu kontroverznost. Já osobně mám rád OBRA, i když je taky kontroverzní, ale má zkušenosti i znalost. I když si rýpne do AMD a nebo do někoho, kdo ho v poslední době něčím naštval.
              A naštěstí webů máme v ČR několik, takže si člověk má z čeho vybrat a pokud někoh něco čílí, je lepší se tomu vyhnout a nečíst to 🙂

            • Jako ok, ale já jako čtenář tam vidím většinovou reklamu od Asusu.
              A “držet hubu a krok”, to opravdu ne. Dokud to bude veřejné informační médium a dokud bude jeho “majitel” zveřejňovat polopravdy a nepravdy a pokud bude lidi s jiným názorem mazat a banovat, tak s ním budu bojovat. A jediným možným bojem je v tomto případě upozorňování na jeho chování na jiných webech. Bohužel.

            • buďme rádi, že vůbec ASUS dává něco na recenze. Taky by náš trh mohli ignorovat.

            • Speedy je skrytý příznivce DDemagoga a šíří mu reklamu napříč českým internetem!

    • zase plácáš ty svoje zapšklé bláboly … akciové trhy si o Asus myslí něco jiné než ty. Výrobky mají špičkové, nekazí se … a že je bordel v softu, resp. v některých programech, ty jsou volitelné, můžeš, nemusíš … takže to co řešíš, je relevantní možná pro tebe, nic víc …

  1. Léta letoucí jsem všude psal, že Asus je Aušus a nesmí mi do baráku. Nikdo mi nevěřil, všichni mě hejtovali. Říkali: “Vždyť oni mají super BIOSy na to se nic nechytá! Crho vůbec tomu nerozumíš ! Zase píšeš kraviny a demagogie ! ” Na diit mě žrali a cupovlai na cucky, že Asus je nejlepší.
    Tak tady to máte: CRHA MĚL ZASE PRAVDU !!! Zlaté MSI…

    • Myslis toho smejda, co mu rok trvalo nez opravil BIOS, aby to konecne zacalo umet usporny stav Intel procesoru?

      S MSI mam sve zkusenosti, uz to nechci, je teda dost tragedie, ze Asus je smejd uz taky, Gigabyte mi nesmi pres prah bytu od doby co nadesignovali desku tak, ze byl po ceste ze zvukoveho cipu slyset brum. Sakra ja nemam uz co za desku koupit!

        • opět fail … mám desku, zvukovku, g kartu, bios instaluji sám … co by v něm tak asi mohlo být?
          Možná bys mohl prozradit, která že je to firma, které hardware v klidu požíváš a která ti na 100% zaručuje, že se tě podobný problém netýká …

  2. Pane Olsane, certifikatem se nic nepodepisuje, pekne prosim. Podepisuje se klicem. Certifikat vydavate nejakemu subjektu a tento muze vydat kdokoliv. Duveryhodnost je pak prave posuzovana na zaklade podepisujiciho, kteryzto muze byt bud globalne overeny (Verisign napr.), nebo lokalne (spolecnosti jako je Asus, ktera je globalne overena). Pokud by vydal a podepsal certifikat kdokoliv, kdo globalni overeni nema, dany SW by mel vyhodit varovani typu “untrusted certificate”.
    A ted k Aususu. Jejich laxnisti uz jsem si vsimnul davno a prave kvuli chybejicimu supportu se temto vyrobkum vyhybam. Je to sice smutne, ale myslim si, ze ani tento zavazny incident jejich pristup nezmeni.

    • Olšan to ví, akorát se asi nechtěl rozepisovat, takže … k tomu supportu ASUS … asi je to otázka osobní zkušenosti. Třeba zvukovku jsem kupoval od ASUS právě kvůli perfektní soft podpoře, na win 10 neměla nikdy žádný problém, na rozdíl od creative a spol … základní desky detto. Za 4 roky nebyl sebemenší problém , takže …možná ty máš jinou zkušenost …
      další věc … tento problém se týká notebooků … kolik procent uživatelů používá autoaktualizace? Na noteboocích snad nikdo, tedy kromě pár neznalých problematiky. Asus nezakazuje instalaci softu, driverů třetích stran jako třeba HP …

      • OK, ja jsem mel zkusenosti s par ntb a 1 premiovym tabletem. Vic uz jsem nezkousel. Co mi ale vadi, je ignorace bezpecnosti, jen nezodpovedna firma muze nechat zajit situaci tak daleko. A je uplne jedno, jestli ma 1, nebo 10000 produktu.
        Na druhe strane jsem ochotny uznat, ze po strance HW jsem s Asusem problem nemel, nikdy mi nic neumrelo.

  3. Právě že support co do biosů je top. A ty premiovejsi produkty mají pak takové funkce a support, jako žádné jiné. Však třeba mrkněte na bios módy na OCN.net. A na speciální OC a RAM profily u desek, nejen obyc xmp….
    Jenže zavděčit se všem nejde. A lidi nechápou ani, že tým několika lidí nemůže vyhovět všem individuálně. Dnes je nejen bios, ale i vzájemná kompatibilita někde zcela jinde než třeba před 10 lety. Zařízeních jsou stovky ne li tisíce. A to opravdu není sranda mít vše pokryté. A ještě se leccos liší dle OS.