>>> AAF Board Info<<<





Sky Sender dunkel

Kostenlose Titan Lizenz Monat 7

Dreambox520 zu gewinnen beim Bundesligatippspiel 2018/19 von der Satworld gesponsert






Ergebnis 1 bis 3 von 3

Thema: Update-Server von Asus verteilte Malware

  1. #1
    Moderator Avatar von kudok
    Registriert seit
    05.04.2008
    Ort
    ニュルンベルク
    Beiträge
    29.706
    Box 1:   Dream DM 900
    Box 2:   Kathrein UFS 913 /Reserve



    Update-Server von Asus verteilte Malware

    Ein Live-Update-Server von Asus wurde laut Kaspersky gehackt. Über eine Million Windows-Rechner mit Asus-Hauptplatinen wurden mit einer Malware verseucht.

    Ein Update-Server des taiwanischen Hardware-Herstellers Asus soll laut dem russischen Sicherheits-Unternehmen Kaspersky bereits im Sommer 2018 gehackt worden sein. Die Angreifer nutzen den gekaperten Asus-Server dafür um zwischen Juni und November 2018 über die Live-Software-Update-Funktion von Asus für BIOS, UEFI, Treiber und Anwendungen Malware auf fremde Windows-Rechner einzuschmuggeln; macOS-Rechner und Linux-Rechner sind nicht betroffen. Erst im Januar 2019 entdeckten Sicherheitsexperten von Kaspersky den Angriff, den sie auf den Namen ShadowHammer tauften.

    Die PC-Besitzer installierten ahnungslos die von dem Asus-LIve-Update-Server bereit gestellten und mit Schadsoftware infizierten Updates. Denn dieses infizierten Updates war mit einem vertrauenswürdigen Zertifikat von Asus signiert.

    Laut Kaspersky sind 57.000 Rechner betroffen, auf denen die Sicherheits-Software von Kaspersky läuft. Die meisten infizierten Rechner sollen in Russland, Deutschland und Frankreich stehen. Das Sicherheits-Unternehmen Symantec meldet weitere 13.000 infizierte Rechner, auf denen wiederum Symantecs Sicherheits-Software installiert ist. Kaspersky schätzt die Gesamtzahl der infizierten PCs auf über eine Million.

    Mit dieser Angriffsmethode sollten Kaspersky zufolge aber anscheinend nur einige wenige ausgesuchte Rechner angegriffen werden: Von 600 Windows-Rechnern ist die Rede. Denn deren MAC-Adresse war in dem Schadcode hinterlegt. Wurde das manipulierte Asus-Update auf einem dieser vorgemerkten Rechner installiert, dann lud es automatisch weitere Malware von einem Command-and-Control-Rechner der Angreifer nach.

    Mit diesem Kaspersky-Online-Tool können Sie sofort prüfen, ob die Mac-Adresse Ihres PCs zu diesem kleinen Kreis der ausgesuchten Ziele gehört.

    Die Mac-Adresse ermitteln Sie auf einem Windows-PC am schnellsten mit dem Befehl ipconfig /all: Geben Sie links unten im Windows-Startmenü „cmd“ ein. Tippen Sie in der sich dann öffnenden Eingabeaufforderung „ipconfig /all“ ein. Scrollen Sie in der Ergebnisanzeige nach unten bis zu dem Eintrag für WLAN oder LAN, bei dem nach Medienstatus nicht(!) „Medium getrennt“ steht, sondern stattdessen das DNS-Suffix angezeigt wird.

    Dessen „Physische Adresse“ ist Ihre Mac-Adresse. Diese Zahlen-Buchstaben-Kombination kopieren Sie in das Kaspersky-Tool.

    Kaspersky betont, dass seine Virenscanner infizierte Updates erkennen und blockieren. Bis jetzt scheint Asus betroffene Kunden nicht über das Risiko informiert zu haben. Laut The Verge wolle Asus demnächst eine Stellungnahme veröffentlichen.

    Bildbericht in der PC-Welt

  2. Danke sirius01 Danke für diesen Beitrag
  3. #2
    Moderator Avatar von kudok
    Registriert seit
    05.04.2008
    Ort
    ニュルンベルク
    Beiträge
    29.706
    Box 1:   Dream DM 900
    Box 2:   Kathrein UFS 913 /Reserve



    Nachstehend die Formulierung im ZD-Net :

    Gehackte Asus-Software installiert Backdoor auf zahllosen PCs weltweit

    Unbekannte verteilen über Asus' eigene Update Server eine manipulierte Version der Software Asus Live Update. Kaspersky Lab spricht von bis zu einer Million Opfern. Die Operation ShadowHammer richtet sich jedoch nur gegen Nutzer mit vordefinierten MAC-Adressen.

    Forscher des russischen Sicherheitsanbieters Kaspersky Lab haben einen zielgerichteten Hackerangriff auf den taiwanischen PC-Hersteller Asus aufgedeckt. Im Rahmen der sogenannten Operation ShadowHammer sollen unbekannte die Asus-Software Live Update genutzt haben, um eine Backdoor einzuschleusen. Die manipulierte Software wurde demnach zwischen Juni und November 2018 verbreitet.

    Asus Live Update ist ein auf Asus-Computern vorinstalliertes Tool, das aber auch den von Asus separat angebotenen Mainboards beiliegt. Es ist für eine automatische Aktualisierung von Komponenten wie BIOS, UEFI, Treibern und anderen Asus-Anwendungen zuständig. Kaspersky will mehr als 57.000 Nutzer seiner Software identifiziert haben, auf deren Computern die gehackte Version von Asus Live Update installiert war. Weltweit könnten nach Einschätzung des Unternehmens mehr als eine Million Anwender betroffen sein.

    Die noch nicht abgeschlossene Untersuchung ergab zudem, dass die Ziele mit „chirurgischer Präzision“ ausgesucht wurden, und zwar anhand ihrer MAC-Adressen. „Um dies zu erreichen, hatten die Angreifer eine Liste von MAC-Adressen in den trojanisierten Malware-Samples fest programmiert, anhand derer die tatsächlich beabsichtigten Ziele dieser massiven Operation identifiziert wurden. Wir konnten mehr als 600 eindeutige MAC-Adressen aus über 200 Mustern extrahieren, die bei diesem Angriff verwendet wurden. Natürlich könnte es auch andere Samples mit unterschiedlichen MAC-Adressen in ihrer Liste geben“, teilte Kaspersky mit.

    Die eigentlich schädliche Software blieb so lange unerkannt, weil die Hintermänner ein legitimes Zertifikat von AsusTek Computer nutzten. Zudem wurden die manipulierten Updates über die offiziellen Asus-Update-Server verteilt. Asus selbst wurde von Kaspersky am 31. Januar über den Vorfall informiert.

    Die meisten Betroffenen – mehr als 18 Prozent aller Opfer – fand Kaspersky in Russland. Auf dem zweiten Platz mit liegt Deutschland mit rund 16 Prozent. Dahinter folgen Frankreich, Italien, die USA, Spanien, Polen und Großbritannien. Jeweils rund zwei Prozent der Opfer stammen aus der Schweiz, Portugal, Kanada, Taiwan, Österreich, Japan und Brasilien. Kaspersky weist darauf hin, dass die Verteilung der Opfer auch stark von der Verbreitung von Kaspersky-Produkten abhängig ist, da dem Unternehmen derzeit nur eigene Zahlen vorliegen.

    Nutzer von Asus-Hardware stellt Kaspersky zudem ein Tool zur Verfügung, mit dem sie prüfen können, ob sie zu den Zielen der Operation ShadowHammer gehören. Das Tool vergleicht zudem Zweck die MAC-Adresse eines Computers mit den in der Malware gefundenen Adressen.

    Eine Überprüfung ist auch online möglich. Kaspersky bittet Betroffene, sich per E-Mail an das Unternehmen zu wenden.

  4. Danke sirius01 Danke für diesen Beitrag
  5. #3
    Moderator Avatar von kudok
    Registriert seit
    05.04.2008
    Ort
    ニュルンベルク
    Beiträge
    29.706
    Box 1:   Dream DM 900
    Box 2:   Kathrein UFS 913 /Reserve



    HT4U meldet nun:

    ASUS gibt Stellungnahme zum Problem mit ASUS Live Update und Schadsoftware

    Nachdem Motherboard die Katze aus dem Sack gezogen und Kaspersky Lab den Vorfall bestätigt hatte, bezieht nun auch der PC-Hersteller ASUS Stellung hinsichtlich der über seine Server verbreiteten Schadprogramme. ASUS ist schon seit zwei Monaten über den Angriff informiert.

    Staatliche Hacker zielen auf eine kleine Personengruppe
    ASUS spricht in seiner Pressemitteilung von einem "Advanced Persistent Threat" (APT), also den gezielten Angriff durch Hacker eines Landes, welche mit hochspezialisierten Methoden die Netzwerke von Organisationen oder Firmen infiltrieren. Die Angriffe dienen oft der Verbreitung von Spionagesoftware über eine scheinbar sichere und vertrauenswürdige Quelle. Kaspersky Lab hatte sich in seiner Analyse ähnlich geäußert.

    Im Falle von ASUS hatten die Angreifer das Windows-Programm "ASUS Live Update", welches die Computer und Hauptplatinen des Herstellers mit Treiber- und Firmware-Updates versorgt, gegen eine manipulierte Version mit Schadcode ausgetauscht und dieses mit echten Zertifikaten der Firma signiert. ASUS erklärt, einzig die Programmversion für Notebooks sei betroffen gewesen. Zudem habe es sich um einen gezielten Angriff auf eine sehr kleine Personengruppe gehandelt.

    Das Zeitfenster des Angriffs erläutert ASUS nicht. Den Angaben von Kaspersky Lab zufolge war der Server, über den die Angreifer zusätzlichen Schadprogramme nachgeladen hatten, zwischen Mai und November 2018 aktiv. Eines der verwendeten ASUS-Zertifikate war bis Mitte 2018 gültig, das andere für das zweite Halbjahr. Entdeckt wurde der Angriff im Januar 2019, ASUS selbst wurde am 31. Januar 2019 informiert.

    Das eigene System überprüfen und absichern
    Ihre Angriffsziele identifizierte die Schadsoftware anhand der MAC-Adressen von Netzwerkadaptern. Ob die eigene MAC-Adresse darunter ist, kann man bei Kaspersky Lab überprüfen. Zusätzlich hat ASUS ein Programm (Download: ASUS Diagnostic Tool 1.0.1.0) bereitgestellt, welches Computer auf einen möglichen ShadowHammer-Angriff hin untersucht. Wird das Tool fündig, muss das Notebook neu aufgesetzt werden.

    ASUS rät allen Nutzern, das "ASUS Live Update" auf die Version 3.6.8 zu aktualisieren. Diese enthalte neue Sicherheitsmechanismen wie eine verbesserte Ende-zu-Ende-Verschlüsselung. Dass man die Aktualisierung über die Update-Funktion eines potentiell infizierten "ASUS Live Update" durchführen soll, erscheint uns allerdings höchst fragwürdig. Bei Stichproben mussten wir allerdings feststellen, dass im Download-Bereich derzeit kein "ASUS Live Update" als eigenständiger Download angeboten wird.

    Da solche Update-Tools auch in der Vergangenheit immer wieder das Ziel von Angriffen waren, würden wir sie generell entfernen. Insbesondere unter Windows 10 macht dies Sinn, da sich hier das Betriebssystem recht zuverlässig um die Aktualisierung der Treiber kümmert. Ein Update der UEFI-Firmware (fälschlicherweise zumeist als BIOS bezeichnet) sollte sowieso nur dann erfolgen, wenn es bekannte Probleme oder Sicherheitslücken gibt.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •