PB60: Adminpasswort auf Asus-Rechnern wirkungslos

Rechner aus der PB60-Serie hätten sehr leicht unbrauchbar gemacht werden können.

Eine Recherche von veröffentlicht am
Sicherheitslücke im BIOS: Bei manchen Asus-Rechnern ist das Admin-Passwort wirkungslos.
Sicherheitslücke im BIOS: Bei manchen Asus-Rechnern ist das Admin-Passwort wirkungslos. (Bild: Solomon203, Wikimedia Commons/CC-BY-SA 4.0)

Mini-PCs des Herstellers Asus hatten ein erhebliches Sicherheitsproblem: Das BIOS war erreichbar, obwohl ein Administratorpasswort gesetzt war. Asus ignorierte die Berichte eines Nutzers an den Support zunächst. Erst als Golem.de mehrfach nachfragte, reagierte Asus.

Stellenmarkt
  1. Cyber Security Manager (m/w/d)
    Jungheinrich AG, Hamburg
  2. IT-Projektmanager Personaleinsatzplanung inhouse (m/w/d)
    Helios IT Service GmbH, Berlin, deutschlandweit
Detailsuche

Im Mai hatte sich ein Leser bei Golem.de gemeldet, der für ein Gymnasium mehrere Rechner der PB60-Serie von Asus angeschafft hatte und betreuen sollte. Die Rechner sollten mit einem BIOS-Passwort geschützt werden, doch das funktionierte nicht. Obwohl bei den betroffenen Computern ein Administratorpasswort gesetzt war, konnte ohne Passworteingabe das BIOS erreicht werden.

Adminpasswort wirkungslos, Nutzerpasswort kann Rechner unbrauchbar machen

Hinzu kam, dass es im BIOS möglich war, ein Nutzerpasswort zu setzen. Im Gegensatz zum Administratorpasswort funktionierte dies auch und führte dazu, dass der Computer nur noch nach Eingabe eines Passworts gebootet werden konnte.

Die Sorge: Im Schulbetrieb könnten sich Schüler einen Scherz erlauben und ein beliebiges Nutzerpasswort setzen - die Computer wären danach nicht mehr nutzbar. Auch könnte mangels Absicherung des BIOS' die Bootreihenfolge geändert und damit beispielsweise Schadsoftware auf dem System installiert werden. Als Beleg für dieses Verhalten schickte der Leser ein Video an Golem.de, in dem das Verhalten wie beschrieben nachvollzogen wird.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

Asus schien zunächst nicht auf das Problem zu reagieren. Der Betroffene wandte sich an den Support der Firma, der sei zwar freundlich gewesen, hätte aber nicht weiterhelfen können.

Golem.de versuchte daraufhin, mit der Pressestelle von Asus Kontakt aufzunehmen und zu fragen, warum ein solches Sicherheitsproblem ignoriert werde. Zunächst erhielten auch wir keine Antwort. Eine weitere Anfrage stellten wir an einen Sprecher, mit dem Golem.de schon früher Kontakt hatte.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Asus reagiert erst nach mehrfachen Nachfragen von Golem.de

Das brachte Bewegung in die Sache. "Die Kollegen konnten den Fehler bei einem Modell nachstellen", schrieb uns der Asus-Sprecher. "Sie kümmern sich jetzt die Behebung der Lücke." Kurze Zeit später stellte Asus uns eine Betaversion des BIOS' für die PB60-Rechner zur Verfügung. Der Leser, der uns das Problem gemeldet hatte, bestätigte kurz darauf auch, dass damit das Problem behoben worden sei.

Asus hatte uns geschrieben, dass ein aktualisiertes BIOS in wenigen Tagen auch offiziell auf der Asus-Webseite zum Download bereitstehen werde. Das ist aber nach wie vor nicht der Fall, obwohl seitdem mehrere Wochen vergangen sind. Nutzer des PB60, die auf die Sicherheit des BIOS-Passworts angewiesen sind, können sich in der Zwischenzeit mit der Betaversion behelfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Lasse@Ristig.de 07. Aug 2020

Als Betroffener hatte ich sorgfältig geguckt und auch Kontakt zum Support aufgenommen...

1e3ste4 06. Aug 2020

Nee, das liegt eher daran, dass alle drei Haupthersteller von UEFI-Firmware Phoenix, AMI...

User_x 05. Aug 2020

Viele Unternehmen haben selbst was Kundenservice angeht feste Prozesse vorgesehen, die...

wurstdings 05. Aug 2020

Öhm hast du aus Versehen unter dem falschen Thead gepostet? Keine Ahnung was daran...

gunterkoenigsmann 05. Aug 2020

Die sind gut! Über das Zustandekommen dieser Handbücher hab ich mich schon als Kind...



Aktuell auf der Startseite von Golem.de
MS Satoshi
Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
Von Elke Wittich

MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
Artikel
  1. Gigafactory Berlin: Tesla verzichtet für Akkufertigung auf staatliche Förderung
    Gigafactory Berlin
    Tesla verzichtet für Akkufertigung auf staatliche Förderung

    Tesla verzichtet für die geplante Akkufertigung in Grünheide bei Berlin auf eine mögliche staatliche Förderung in Milliardenhöhe.

  2. Microsoft: Xbox-Spieler in Halo Infinite von Crossplay genervt
    Microsoft
    Xbox-Spieler in Halo Infinite von Crossplay genervt

    Im Multiplayer von Halo Infinite gibt es offenbar immer mehr Cheater. Nun fordern Xbox-Spieler eine Option, um gemeinsame Partien mit PCs zu vermeiden.

  3. 50 Prozent bei IT-Weiterbildung sparen
     
    50 Prozent bei IT-Weiterbildung sparen

    Die Black Week 2021 in der Golem Karrierewelt läuft weiter: 50 Prozent bei zahlreichen Live-Workshops, Coachings und E-Learnings sparen - noch bis Montag!
    Sponsored Post von Golem Akademie

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Black Friday • Corsair MP600 Pro XT 1TB 167,96€ • Apple Watch Series 6 ab 379€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /