c't 9/2019
S. 44
News
Hardware: Sicherheitslücke, neue Prozessoren

Asus-Update-Tool verteilt Schadsoftware

Über gehackte Update-Server des Hardware-Herstellers Asus konnten Angreifer mindestens 57.000 Rechner mit Schadsoftware infizieren. Die Zahl der Betroffenen könnte laut Kaspersky Lab bei über einer Million liegen.

Hacker nutzten das Asus Live Update Utility, um Schadcode zu verbreiten. Das Tool ist auf Notebooks wie dem Asus ZenBook 13 (UX331UAL) vorinstalliert.

Software-Zugaben von PC- und Notebook-Herstellern fielen in den letzten Monaten mehrfach durch Sicherheitslücken negativ auf. Der Antivirenhersteller Kaspersky Lab hat nun auf 57.000 Rechnern seiner Kunden eine Schadsoftware entdeckt, die über das Asus Live Update Utility verteilt wurde. Das Programm ist zum Beispiel auf Notebooks vorinstalliert und spielt aktuelle Treiber und BIOS-Updates ein.

Die Hacker haben laut Kaspersky Lab Zugriff auf die Asus-Server erlangt und darüber eine ältere manipulierte Version des Asus Live Update Utility mit dem unauffälligen Dateinamen setup.exe verteilt. Asus bemerkte den Schadcode wohl nicht, weil dieser mit einem validen digitalen Zertifikat des Hardware-Herstellers versehen war. Die Hacker waren im Besitz zweier Asus-Zertifikate, wobei der Hersteller eines davon noch einen Monat lang selbst genutzt hatte, nachdem er über den Einbruch informiert wurde.

Eigentliches Ziel des sogenannten Shadowhammer-Angriffs waren rund 600 MAC-Adressen von Netzwerkadaptern (Liste siehe ct.de/ys81). Bei einer Übereinstimmung hat das Tool dann eine weitere Schadsoftware nachgeladen. Da die Command-and-Control-Server der Hacker zum Zeitpunkt der Entdeckung bereits offline waren, konnte Kaspersky Lab die zweite Software nicht analysieren.

Inzwischen hat Asus die aktualisierte Version 3.6.8 des Asus Live Update Utility zum Download bereitgestellt, welches die Lücke schließt. In einer Stellungnahme räumte der Hardware-Hersteller den Hack ein, spricht aber nur von einer geringen Zahl an Betroffenen. Sowohl Asus als auch Kaspersky Lab bieten jeweils ein Diagnose-Tool an, das die Infektion erkennt (siehe ct.de/ys81). Sollte das der Fall sein, empfiehlt der Hersteller ein Backup der Daten anzulegen und anschließend das Gerät auf Werkseinstellungen zurückzusetzen.

Wir empfehlen Software-Dreingaben bei Desktop-PCs und Notebooks möglichst zu deinstallieren oder bei Mainboards gar nicht erst zu installieren. In c’t 5/2019 haben wir über Lücken in der RGB-Steuerungssoftware von Asus und Gigabyte berichtet, die zum Teil bis heute nicht geschlossen wurden. (chh@ct.de)

BIOS-Update: Hinweise auf neue AMD- und Intel-Prozessoren

Intel erweitert in wenigen Wochen seine Prozessorpalette. Mit dem neuesten BIOS kommt damit auch das Asrock Z390M-ITX/ac zurecht.

Mehrere Hardware-Hersteller bieten für LGA1151v2-Mainboards mit Serie-300-Chipsätzen BIOS-Updates an, die sie für kommende Core-i-9000-CPUs fit machen. Letztere sollen im zweiten Quartal erscheinen und verwenden ein neues CPU-Stepping „R0“, während bisherige Coffee-Lake-Refresh-Prozessoren im Stepping „P0“ (Core i9-9900K) oder „U0“ (Core i5-9400) gefertigt sind. Vermutlich handelt es sich um die noch fehlenden Quad-Cores der Serie Core i3-9000.

Für AM4-Mainboards verteilen die Hersteller ebenfalls neue BIOS-Versionen mit AGESA-Firmware 0.0.7.0 beziehungsweise 0.0.7.2 für ungenannte zukünftige Prozessoren. Vermutlich sind damit die für Sommer erwarteten, in 7-nm-Technik gefertigten Ryzen 3000 mit Zen-2-Architektur gemeint. (chh@ct.de)

Kommentieren