Asus Live Update-software bevatte backdoor voor gerichte aanvallen

De Asus Live Update-software, die geïnstalleerd staat op laptops en pc's van de Taiwanese fabrikant, bevatte tussen juni en november 2018 een backdoor. Kwaadwillenden konden daardoor malware installeren. Zij richtten zich op specifieke mac-adressen.

Kaspersky ontdekte de aanwezigheid van de backdoor in januari en heeft Asus eind die maand ingelicht. Volgens de beveiligingsonderzoekers was de updatesoftware tussen juni en november 2018 besmet met de backdoor.

Kaspersky noemt de aanval ShadowHammer en heeft voor gebruikers een tool online gezet waarmee ze kunnen controleren of hun Asus-laptop de backdoor bevat. Ook heeft het bedrijf een pagina gemaakt waarop gebruikers kunnen controleren of hun mac-adres op de lijst van doelwitten staat. Het beveiligingsbedrijf heeft nog niet alle technische details bekendgemaakt; dat zal begin april gebeuren tijdens de Security Analyst Summit in Singapore.

Met de backdoor in de Asus Live Update-software kunnen kwaadwillenden malware installeren op alle computers waar de besmette software op staat. De backdoor was moeilijk te ontdekken omdat de besmette updates ondertekend waren met officiële certificaten van Asus en de geïnfecteerde software stond op officiële updateservers van de fabrikant. Ook werd de backdoor niet op grote schaal gebruikt om malware te installeren; daardoor bleef hij lang onopgemerkt.

Volgens Kaspersky werd de backdoor in de Asus-software gebruikt voor gerichte aanvallen op specifieke mac-adressen. Kaspersky zegt zeshonderd adressen in de besmette software gevonden te hebben die doelwit waren, maar dat zouden er meer kunnen zijn. De beveiligingsonderzoekers spreken over 'chirurgische precisie' en schrijven de backdoor daarom toe aan een zogenaamde APT-groep. Dat is een groep of organisatie die over zeer geavanceerde middelen beschikt. Dat kan bijvoorbeeld een overheidsorganisatie zijn. Kaspersky zegt aanwijzingen te zien die de aanval linken aan het ShadowPad-incident waarbij een backdoor aan CCleaner werd toegevoegd in 2017.

Volgens statistieken hebben meer dan 57.000 Kaspersky-gebruikers de Asus-tool met backdoor geïnstalleerd. Waarschijnlijk gaat het om veel meer gebruikers, omdat Kaspersky alleen van gebruikers die Kaspersky-software draaien, kan weten of zij de desbetreffende Asus-software hebben. Kaspersky schat dat het in totaal om meer dan een miljoen gebruikers gaat.

De Asus Live Update-tool staat standaard geïnstalleerd op laptops en pc's van de fabrikant. De software wordt gebruikt om driver-, bios- en uefi-updates te downloaden en om updates voor meegeleverde software te installeren.

Asus heeft nog niet gereageerd op de aanwezigheid van de backdoor. Ook heeft het bedrijf klanten nog niet ingelicht. Een beveiligingsonderzoeker van Kaspersky zegt in een interview met Motherboard dat er wel contact is geweest tussen de bedrijven, inclusief een ontmoeting halverwege februari, maar hij zegt dat Asus verder 'grotendeels niet reageert'.

Nieuwe laptops van Asus, waar de software ook op staat, hebben de betreffende backdoor niet. Dat heeft Tweakers kunnen verifiëren met het testexemplaar van de Asus ZenBook 13.

Asus ZenBook UX430UA Review

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 25-03-2019 15:21 44

25-03-2019 • 15:21

44

Lees meer

Vermeende broncode van Intel Alder Lake-bios verschijnt online
Vermeende broncode van Intel Alder Lake-bios verschijnt online Nieuws van 8 oktober 2022
Aanvallers dringen binnen in netwerk Avast 'om malware in CCleaner te plaatsen'
Aanvallers dringen binnen in netwerk Avast 'om malware in CCleaner te plaatsen' Nieuws van 21 oktober 2019
Asus geeft Zenbooks en Vivobooks ScreenPads en brengt leren jubileummodel uit
Asus geeft Zenbooks en Vivobooks ScreenPads en brengt leren jubileummodel uit Nieuws van 27 mei 2019
Asus introduceert Zenbook Pro Duo met 4k-scherm en 4k-ScreenPad
Asus introduceert Zenbook Pro Duo met 4k-scherm en 4k-ScreenPad Nieuws van 27 mei 2019
'Malware die in Asus-updatetool werd gevonden trof ook gamebedrijven'
'Malware die in Asus-updatetool werd gevonden trof ook gamebedrijven' Nieuws van 24 april 2019
Asus brengt Live Update-software met beveiligingsmaatregelen uit
Asus brengt Live Update-software met beveiligingsmaatregelen uit Nieuws van 26 maart 2019
'Aanvallers CCleaner wilden keylogger en wachtwoorddief installeren'
'Aanvallers CCleaner wilden keylogger en wachtwoorddief installeren' Nieuws van 9 maart 2018
Avast: malware kwam via CCleaner-backdoor op veertig systemen terecht
Avast: malware kwam via CCleaner-backdoor op veertig systemen terecht Nieuws van 25 september 2017
'Aanvallers achter CCleaner-hack richtten zich op grote techbedrijven'
'Aanvallers achter CCleaner-hack richtten zich op grote techbedrijven' Nieuws van 21 september 2017
Avast: 730.000 systemen draaien nog besmette CCleaner, maar lopen geen risico
Avast: 730.000 systemen draaien nog besmette CCleaner, maar lopen geen risico Nieuws van 19 september 2017
CCleaner-installer bevatte een maand lang backdoor - update
CCleaner-installer bevatte een maand lang backdoor - update Nieuws van 18 september 2017
Meer producten en artikelen
Laptops ASUS

Reacties (44)

-Moderatie-faq
44
44
36
5
1
5
Wijzig sortering

Sorteer op:

Weergave:
Ravefiend 25 maart 2019 15:31
Nog wat meer achtergrond informatie in het artikel op Motherboard - Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers.

Bijzonder in deze is toch wel dit stukje:
The attackers used two different ASUS digital certificates to sign their malware. The first expired in mid-2018, so the attackers then switched to a second legitimate ASUS certificate to sign their malware after this.

Kamluk said ASUS continued to use one of the compromised certificates to sign its own files for at least a month after Kaspersky notified the company of the problem, though it has since stopped. But Kamluk said ASUS has still not invalidated the two compromised certificates, which means the attackers or anyone else with access to the un-expired certificate could still sign malicious files with it, and machines would view those files as legitimate ASUS files.
Diamondo25 @Ravefiend25 maart 2019 15:37
Dan is het toch heel makkelijk? Gewoon naar Microsoft gaan, zeggen dat de certificaten zijn gelekt en tada, software kan niet meer opgestart worden doordat deze lijst via Microsoft Update binnenkomt.
Tozz @Diamondo2525 maart 2019 16:02
De lijst die Microsoft bijhoudt gaat toch alleen om CA certificaten? Niet om individuele certificaten? Daar is OCSP en CRL voor bedacht.
JDDD @Ravefiend26 maart 2019 14:12
En is de tool, genoemd in dit artikel, "een tool online gezet waarmee" wel save ??
Wordt van een website kas.pr gehaald.
Ik heb een asus, maar om nu zomaar een tool te gaan draaien, vanaf een niet bekende website 8)7
WiIfred @JDDD27 maart 2019 08:01
Daar zat ik ook mee. Het lijkt me dat veiligheidsbewuste mensen niet zomaar een programmaatje van een vaag adres als "kas.pr" zouden moeten downloaden.
Je kunt het ook vinden via de website van kaspersky.com:
https://shadowhammer.kaspersky.com/
Er staat ergens: "Download an archive with the tool (.exe)"
steenz 25 maart 2019 17:32
Die check op MAC adressen is leuk, maar zegt niets over of de malware daadwerkelijk op je systeem geïnstalleerd is (geweest). Heeft iemand ergens gelezen hoe je dit controleert en/of verwijdert? Zou Live Update verwijderen genoeg moeten zijn, of heeft de malware zichzelf elders verstopt? Lijkt me toch ook een interessante vraag...
R4gnax 25 maart 2019 20:05
Als Live-Update gecompromiteerd is door vanaf de officiële download-servers van Live-Update - dus vanuit ASUS eigen serverpark! - een officieel door ASUS ondertekende malware payload te laten downloaden

...

Wat is er dan verder nog aan de kant van ASUS geinfecteerd of gecompromiteerd geweest?

Aanvallers moeten toch wel heel diep in het systeem hebben gezeten om dit voor elkaar te krijgen, zou je denken. Kans is zeker aanwezig dat ze dus ook op andere plekken zitten of hebben gezeten.

[Reactie gewijzigd door R4gnax op 23 juli 2024 02:11]

Smuey 25 maart 2019 15:27
Pf, leuk joh, van die meuk die fabrikanten alvast even voor je installeren...

Dit is dus precies de reden dat bij een verse laptop ook altijd een versie installatie van Windows wordt doorlopen voor ik hem in gebruik neem.
R4gnax @Smuey25 maart 2019 19:43
Dit is dus precies de reden dat bij een verse laptop ook altijd een versie installatie van Windows wordt doorlopen voor ik hem in gebruik neem.
En dat gaat je vaak niet helpen.

Sinds Windows 8 kijkt Microsoft bij de installatie van Windows naar een speciale ACPI table in het UEFI wat ze de Windows Binary Partition Table (WBPT) noemen. De Windows installer zal executables die in deze table staan altijd (ongevraagd en zonder verdere melding aan de gebruiker) oppikken en opnemen in het (her)installatie- en/of boot-proces.

Deze table is eigenlijk bedoeld voor kritieke features, zoals bijv. speciale device drivers om basale invoer/uitvoer via een geintegreerd toetsenbord of trackpad te laten werken zoals het hoort; of anti-diefstal software.

Van sommige vendors is bekend dat zij de WBPT ook misbruiken of hebben misbruikt om hun eigen crapware vanaf te bootstrappen. Lenovo is daar schoolvoorbeeld van.

Zij hebben een eigen crapware delivery tool gehad die vanuit de WBPT ongevraagd geinstalleerd wordt en keer-op-keer bij opstarten aan de gebruiker een prompt toont die hen verzoekt de rest van de troep te installeren. Deze executable kon je niet weg krijgen. De dropper (laten we het in malware termen houden, want feitelijk vertoont het er alle kenmerken van) zal elke keer dat de laptop opstart opnieuw vanuit de WBPT gedraaid worden; en een paar checks doen om te zien of het zootje geinstalleerd staat en intact is. Zo niet; gaat het er opnieuw overheen gezet worden. (Dus de rechten aanpassen, of vervangen door een dummy executable helpt ook niet.)

Het is heel hardnekkig bezitterig gedrag van de laptop vendors en WBPT en UEFI hebben het een stuk makkelijker en veiliger gemaakt, waardoor het vaker ingezet wordt dan voorheen.

Want ja: een aantal van hen, waaronder opnieuw Lenovo, wist voorheen hetzelfde trucje al te doen door direct vanuit BIOS de Windows bootloader aan te passen en een executable die kritiek is voor het boot-proces te vervangen door een ander exemplaar met dezelfde soort dropper code er in. (Ja, echt.)

[Reactie gewijzigd door R4gnax op 23 juli 2024 02:11]

World Citizen @R4gnax26 maart 2019 17:26
Nice! Goede info.

Net wat gezocht en kennelijk kun je dit herkennen aan het wpbbin.exe bestand in je system32 folder. Als dat bestand er staat dan word er vanuit WBPT iets naar Windows gestuurd. Red Flag dus.
R4gnax @World Citizen26 maart 2019 19:35
Nice! Goede info.

Net wat gezocht en kennelijk kun je dit herkennen aan het wpbbin.exe bestand in je system32 folder. Als dat bestand er staat dan word er vanuit WBPT iets naar Windows gestuurd. Red Flag dus.
Let daarbij wel even op: software die zijn sporen niet wil nalaten zal netjes achter zichzelf opruimen en dat bestand weghalen.
Carlos0_0 @Smuey25 maart 2019 15:32
Ja maar goed zo Live updater is dan toch wel weer makkelijk, je kan deze ook gewoon zelf downloaden van de site.
Zo wordt je makkelijk op te hoogte gehouden bios update of iets, want ja die haalt windows niet binnen :)
himlims_ @Carlos0_025 maart 2019 15:36
heb div. asus hardware / mobo etc. maar die live updater heeft in de afgelopen 10jr hier nog nooit gewerkt; want die live update krijgt een update, en die kan ie niet installeren; laatste versie is niet te downloaden (enkel via update). achjah :+
darknessblade @himlims_25 maart 2019 15:49
heb ik ook vaak gehad, dan heb je een update voor de geluidskaart {van realtek zelf} maar deze is dan nog niet asus customized, zodat je deze niet krijgt via asus live update.

heb het er ook af gegooid na een clean install van m'n laptop (alleen gebruikt om de waves maxx audio tool te krijgen,)
BlaDeKke @Carlos0_025 maart 2019 18:58
Software die je bios kan updaten vanaf je OS..
Nooit voorstander van geweest eigenlijk.
R4gnax @BlaDeKke25 maart 2019 19:26
Software die je bios kan updaten vanaf je OS..
Nooit voorstander van geweest eigenlijk.
Vroeger, met BIOS, had je daarvoor nog speciale vendor-specifieke software voor nodig. Tegenwoordig is het zo dat praktisch elke gecerficeerde UEFI direct vanuit Windows of andere OSen te updaten is; want het gaat via een gestandaardiseerde feature van UEFI. Enige wat er nog nodig is? Admin-rechten.

(Doe mij maar een moederbord wat die overschrijfbaarheid op het fysieke niveau met een jumper af-blokt, graag...)
BlaDeKke @R4gnax25 maart 2019 20:31
Is dit ook indien CSM gebruikt wordt?
R4gnax @BlaDeKke25 maart 2019 20:39
Aangezien het operating system in CSM mode een BIOS systeem zou moeten zien, en niet een UEFI systeem, zou ik denken van niet. Maar zeker weten? Nee. Sorry.
AmigaWolf @Carlos0_025 maart 2019 19:30
Ja maar goed zo Live updater is dan toch wel weer makkelijk, je kan deze ook gewoon zelf downloaden van de site.
Zo wordt je makkelijk op te hoogte gehouden bios update of iets, want ja die haalt windows niet binnen :)
Waarom, het enigste wat je hoef te updaten is je Grafische kaart drivers, voor de rest is het niet nodig, alleen als je problemen heb.
Carlos0_0 @AmigaWolf25 maart 2019 21:37
Ook die hoef je niet te updaten altijd, alleen als je games speelt op de pc is het handig.
AmigaWolf @Carlos0_025 maart 2019 21:57
Precies, en andere grafische dingen doe er op.
MN-Power @Carlos0_025 maart 2019 15:40
Vaak heb je toch niks aan de nieuwe functionaliteiten. If it aint broke(or leaky) don't try to fix it.
MrMonkE @MN-Power25 maart 2019 15:56
Ja maar goed zo Live updater is dan toch wel weer makkelijk, je kan deze ook gewoon zelf downloaden van de site.
Zo wordt je makkelijk op te hoogte gehouden bios update of iets, want ja die haalt windows niet binnen :)
Ik was het al aan het typen:)
Wel mee eens.. 99% :)

Maar in geval van bios fixes die veiligheidsproblemen verhelpen zou je niet weten dat die er is tenzij je er op let. Tweakers zien dat misschien maar aan de wat minder onderlegde gebruikers zal het voorbij gaan.
YangWenli @MN-Power25 maart 2019 19:23
Had gisteren nog een nieuwe GPU driver update die niet werkte. In Windows 10 is het gelukkig tegenwoordig heel makkelijk om een update terug te draaien.
Verwijderd @Smuey25 maart 2019 15:34
Zeer verstandig, die software die fabrikanten op je laptop zetten is vaak onnodig en neemt na een aantal updates veel ruimte in beslag, precies zoals je bij smartphones ziet.
Melkunie 25 maart 2019 15:30
Vanavond maar meteen die tool eens draaien.
Ik geloof dat mevrouw Melkunie een laptop heeft die hier wel eens onder zou kunnen vallen (pricewatch: Asus FX503VM-E4178T)
Merik @Melkunie25 maart 2019 23:52
Idem dito voor de laptop van mijn ouders, ASUS K73TK-TY005 uit 2012, normaal gezien heb ik deze tool eraf gegooid maar toch maar checken morgen (deze stond wel voorgeinstalleerd afaik).

Benieuwd hoe deze aanval heeft kunnen plaatsvinden.
Verwijderd @Melkunie25 maart 2019 15:57
Omdat dit op specifieke apparaten gericht is lijkt de kans dat mevrouw Melkunie hier door getroffen is erg klein. Dit is een aanval op een instantie, bedrijf or land.
Melkunie @Verwijderd25 maart 2019 16:14
Superfijn dat het zich richt op specifieke apparaten, de backdoor is wel op alle apparaten aanwezig. Ook al doet het verder niets is dat in mijn boekje toch ook 'getroffen'.
MadMarky 25 maart 2019 15:36
Lijkt me een typisch geval van een fabrikant die (nog steeds!) geen draaiboek heeft voor beveiligingsissues die gemeld worden. Waar dit bij veel grote bedrijven de laatste jaren steeds beter en vlotter opgepakt wordt, zijn er ook nog een aantal die maar moeilijk bereikbaar zijn en niet echt actie ondernemen. Asus is daar kennelijk een schoolvoorbeeld van... :/
TBK001 @MadMarky25 maart 2019 22:02
Of een bedrijf wat denkt met een beetje struisvogelpolitiek eea wel rustig over waait. 😉
MuRado 25 maart 2019 15:32
Maar goed dat ik het gelijk eraf heb gegooid. Net voor de zekerheid nog mijn MAC-adressen gecheckt, gelukkig kwam alles clean door de test.
PhoenixT @MuRado25 maart 2019 15:50
Heb je dan het vermoeden dat een APT-groep achter je aan zit? Zo ja dan kun je dit beter snel melden bij de veiligheidsdiensten ;)

[Reactie gewijzigd door PhoenixT op 23 juli 2024 02:11]

MuRado @PhoenixT25 maart 2019 15:52
Nee, maar het geeft toch wel weer een fijn gevoel dat ik zeker weet dat er niks aan de hand is
SB[NL] 25 maart 2019 15:32
Hmm Zit dat Live update gebeuren ook niet ingebouwd in utilities zoals gputweak II?
JayOne 25 maart 2019 15:38
Al een paar jaar een ASUS Zenbook, maar werkelijk nog nooit een Live Update gehad, moest zelfs extra moeite doen om de Intel drivers (via Intel) te updaten. Dus het verbaast me dat deze functionaliteit toch werkte.
CAPSLOCK2000 25 maart 2019 15:39
Dit soort "supply chain" aanvallen zie je steeds meer. Nu de belangrijkste doelen in de IT van beveiliging zijn voorzien worden er minder directe routes genomen. De meeste organisaties hebben naast hun 'kern' van harde IT nog een hele wolk aan partners en medewerkers die min of meer vertrouwd worden, vaak vanuit de gedachte dat die toch niet bij de kroonjuwelen kunnen. "Wat gaan ze doen? De airco harder zetten?" hoor je dan.
Het is ook niet meer dan menselijk om elkaar te helpen, dus wordt voor die arme monteur een uitzondering gemaakt omdat je niet van iedereen kan verwachten dat ze IT-beveiliging snappen... en meestal gaat dat goed, zoals met alle slechte plannen in deze wereld. Als IT-afdeling kun je wel op je strepen gaan staan, maar als de directeur het te warm heeft dan wordt er toch vaak even een uitzondering gemaakt "zodat iedereen verder kan".

Allemaal hele menselijk, maar grote/belangrijke organisaties zullen er steeds meer rekening mee moeten houden. En laten we wel wezen, wat je verder ook over Asus denkt, het blijft een IT-bedrijf. Dit soort zaken staan daar nog een beetje op het netvlies. Als het daar fout gaat, dan zijn een hoop andere organisaties eigenlijk kansloos.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 02:11]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq