ASUS gibt Stellungnahme zum Problem mit ASUS Live Update und Schadsoftware

Nachdem Motherboard die Katze aus dem Sack gezogen und Kaspersky Lab den Vorfall bestätigt hatte, bezieht nun auch der PC-Hersteller ASUS Stellung hinsichtlich der über seine Server verbreiteten Schadprogramme. ASUS ist schon seit zwei Monaten über den Angriff informiert.

Staatliche Hacker zielen auf eine kleine Personengruppe

ASUS spricht in seiner Pressemitteilung von einem „Advanced Persistent Threat“ (APT), also den gezielten Angriff durch Hacker eines Landes, welche mit hochspezialisierten Methoden die Netzwerke von Organisationen oder Firmen infiltrieren. Die Angriffe dienen oft der Verbreitung von Spionagesoftware über eine scheinbar sichere und vertrauenswürdige Quelle. Kaspersky Lab hatte sich in seiner Analyse ähnlich geäußert.

Im Falle von ASUS hatten die Angreifer das Windows-Programm „ASUS Live Update“, welches die Computer und Hauptplatinen des Herstellers mit Treiber- und Firmware-Updates versorgt, gegen eine manipulierte Version mit Schadcode ausgetauscht und dieses mit echten Zertifikaten der Firma signiert. ASUS erklärt, einzig die Programmversion für Notebooks sei betroffen gewesen. Zudem habe es sich um einen gezielten Angriff auf eine sehr kleine Personengruppe gehandelt.

Das Zeitfenster des Angriffs erläutert ASUS nicht. Den Angaben von Kaspersky Lab zufolge war der Server, über den die Angreifer zusätzlichen Schadprogramme nachgeladen hatten, zwischen Mai und November 2018 aktiv. Eines der verwendeten ASUS-Zertifikate war bis Mitte 2018 gültig, das andere für das zweite Halbjahr. Entdeckt wurde der Angriff im Januar 2019, ASUS selbst wurde am 31. Januar 2019 informiert.

Das eigene System überprüfen und absichern

Ihre Angriffsziele identifizierte die Schadsoftware anhand der MAC-Adressen von Netzwerkadaptern. Ob die eigene MAC-Adresse darunter ist, kann man bei Kaspersky Lab überprüfen. Zusätzlich hat ASUS ein Programm (Download: ASUS Diagnostic Tool 1.0.1.0) bereitgestellt, welches Computer auf einen möglichen ShadowHammer-Angriff hin untersucht. Wird das Tool fündig, muss das Notebook neu aufgesetzt werden.

ASUS rät allen Nutzern, das „ASUS Live Update“ auf die Version 3.6.8 zu aktualisieren. Diese enthalte neue Sicherheitsmechanismen wie eine verbesserte Ende-zu-Ende-Verschlüsselung. Dass man die Aktualisierung über die Update-Funktion eines potentiell infizierten „ASUS Live Update“ durchführen soll, erscheint uns allerdings höchst fragwürdig. Bei Stichproben mussten wir allerdings feststellen, dass im Download-Bereich derzeit kein „ASUS Live Update“ als eigenständiger Download angeboten wird.

Da solche Update-Tools auch in der Vergangenheit immer wieder das Ziel von Angriffen waren, würden wir sie generell entfernen. Insbesondere unter Windows 10 macht dies Sinn, da sich hier das Betriebssystem recht zuverlässig um die Aktualisierung der Treiber kümmert. Ein Update der UEFI-Firmware (fälschlicherweise zumeist als BIOS bezeichnet) sollte sowieso nur dann erfolgen, wenn es bekannte Probleme oder Sicherheitslücken gibt.

Über David Maul

David Maul ist studierter Wirtschaftsinformatiker mit einer Leidenschaft für Hardware

Leave a Comment