• IT-Karriere:
  • Services:

Server gehackt: Schadsoftware versteckt sich in Asus-Update-Tool

Auf Hunderttausenden Asus-Geräten ist eine Schadsoftware über das Update-Tool installiert worden. Mit einer echten Signatur war sie kaum zu erkennen - zielte aber nur auf 600 Geräte. Asus hat ein Update veröffentlicht.

Artikel veröffentlicht am ,
Ob dieser Rechner auch infiziert wurde?
Ob dieser Rechner auch infiziert wurde? (Bild: PIX1861/Pixabay)

Über einen kompromittierten Asus-Update-Server haben Angreifer zwischen Juni und November 2018 eine Schadsoftware verteilt, die mit einem Zertifikat von Asus signiert war. Das betroffene Live-Update-Tool wird standardmäßig auf Asus-Laptops und anderen Geräten des Herstellers installiert. Entdeckt wurde die Schadsoftware im Januar 2019 durch die Sicherheitsfirma Kaspersky Lab. Die Sicherheitsforscher schätzen, dass eine halbe Million Asus-Computer betroffen sind.

Stellenmarkt
  1. finanzen.de, Berlin
  2. TechnoTeam Bildverarbeitung GmbH, Ilmenau

Im Fokus der Schadsoftware sollen jedoch nur 600 Geräte gewesen sein, die über eine Liste von hinterlegten Mac-Adressen abgeglichen wurden. Nur mit der richtigen Mac-Adresse soll die Schadsoftware laut einem Bericht von Motherboard einen Command-and-Control-Server unter asushotfix.com kontaktiert und weitere Schadsoftware nachgeladen haben. Der Server wurde im Mai 2018 registriert und ein halbes Jahr später abgeschaltet.

Dies sei auch einer der Gründe für die späte Entdeckung der Schadsoftware, sagt Costin Raiu, Leiter des globalen Forschungs- und Analyseteams von Kaspersky Lab, zu Motherboard. "Wenn man nicht das Ziel ist, ist die Software praktisch geräuschlos", sagt Raiu. Dennoch sei auch auf diesen Rechnern eine Hintertür installiert worden.

Asus veröffentlicht Update

Asus hat ein Update des betroffenen Live-Update-Tools (Version 3.6.8) veröffentlicht, das über das Tool oder von der Asus-Webseite bezogen werden kann. "Um potenziell betroffene Systeme zu überprüfen, haben wir ein Online-Diagnose-Tool erstellt, und möchten Nutzer dazu ermutigen es vorsorglich auszuführen," schreibt Asus in einem Statement. Mit der Software sollen Nutzer feststellen können, ob sie von der Schadsoftware betroffen sind oder nicht. Laut Asus sollen zudem nur Notebooks, die die Software Live Update einsetzen, betroffen sein. "Alle anderen Geräte sind davon nicht betroffen," sagt Asus.

Vertrauensmodell kann Sicherheit nicht garantieren

"Der Angriff zeigt, dass das Vertrauensmodell, welches auf bekannten Herstellernamen und der Validierung von Signaturen basiert, einen Schutz vor Schadsoftware nicht garantieren kann," sagte Vitaly Kamluk, der Leiter der Untersuchung bei Kaspersky Lab, zu Motherboard. Asus sei bereits im Januar von Kaspersky informiert worden. Das Unternehmen habe jedoch bestritten, dass seine Server kompromittiert wurden und die Schadsoftware aus seinem Netzwerk ausgeliefert wurde - die Downloadpfade, der von Kaspersky entdeckten Schadsoftware-Samples hätten jedoch auf Asus-Server gezeigt.

Kaspersky fand die Schadsoftware bei 57.000 Kunden. Die meisten Installationen ermittelten sie mit 18 Prozent in Russland, gefolgt von Deutschland und Frankreich. Die Sicherheitsfirma Symantec bestätigte die Veröffentlichung von Kaspersky. Mindestens 13.000 Rechner von Symantec-Kunden seien von der Schadsoftware betroffen, davon stammten 15 Prozent aus den USA.

Spärliche Reaktionen von Asus

Kaspersky meldete den Fund bereits am 31. Januar an Asus, am 14. Februar gab es ein Treffen zwischen Asus und Kaspersky. Seitdem habe Asus kaum reagiert, auch die Kunden seien nicht über das Problem informiert worden. Auch sei das kompromittierte Zertifikat mindestens einen Monat lang weiter verwendet worden, sagt Kamluk.

Kaspersky spricht von einem softwarebasierten Angriff auf die Lieferkette. Ende vergangenen Jahres sorgte ein Bericht von Bloomberg für Aufsehen, der China unterstellte, die Lieferkette hardwarebasiert anzugreifen. Kaspersky nennt die Angreifer Shadowhammer und vermutet, dass diese auch für die Schadsoftware im CCleaner 2017 verantwortlich sind. Bei beiden Angriffen wurde nur in wenigen Fällen die Command-and-Control-Server kontaktiert.

Nachtrag vom 27. März 2019, 9:00 Uhr

Asus hat ein Software-Update veröffentlicht, der Text wurde entsprechend angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-20%) 47,99€
  2. 15,00€
  3. 14,99€

1st1 27. Mär 2019

"Asus hat ein Software-Update veröffentlicht, der Text wurde entsprechend angepasst." Das...

kubatsch006 26. Mär 2019

gottseidank weiss ich das es für mein asus-MB schon seit Jahren keine Updätes mehr gibt...

Schleicher 26. Mär 2019

Bei den Routern sah es damals schon nicht wirklich gut aus. Asus muss sich zu 20 Jahren...

1e3ste4 26. Mär 2019

Symantec hat seine CA-Sparte verkauft und stellt damit keine Zertifikate aus. Golem und...

chefin 26. Mär 2019

Doch genau das musst du. Dem Auto trauen ist dem Hersteller trauen, da du nicht weist...


Folgen Sie uns
       


Asus Expertbook B9 - Hands on (CES 2020)

Das Expertbook B9 von Asus ist ein sehr leichtes, leistungsfähiges Business-Notebook. Im ersten Kurztest macht das Gerät einen guten Eindruck.

Asus Expertbook B9 - Hands on (CES 2020) Video aufrufen
Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

    •  /