L'utilitaire de mise à jour d'Asus utilisé par des pirates pour installer des backdoors

Le mécanisme de mise à jour d'ASUS a encore une fois été utilisé pour installer des logiciels malveillants sur des ordinateurs personnels, ont rapporté les chercheurs d'Eset en début de semaine.

Des chercheurs en sécurité rapportent que le groupe de hackers BlackTech déployait le logiciel malveillant Plead en utilisant des attaques MitM à Taïwan. Le groupe utilise apparemment une faiblesse du logiciel Asus WebStorage pour télécharger le logiciel malveillant... en contournant l'authentification.

Un logiciel vulnérable

Un début d'année plutôt compliqué pour Asus. Selon des chercheurs en sécurité chez Eset, des pirates informatiques ont exploité le logiciel AsSt WebStorage pour installer des portes dérobées (backdoor) sur les ordinateurs de victimes. Le malware utilisé s'appelle Plead. Pour information, BlackTech cible principalement les gouvernements asiatiques et des entreprises victimes d'attaques de cyber-espionnage. Eset a détecté l'activité illicite à Taiwan, où le malware est le plus actif.

Généralement, les logiciels malveillants sont distribués via des attaques de phishing. Cependant, cette fois-ci, les chercheurs ont remarqué qu'un processus appelé AsusWSPanel.exe activait la backdoor Plead. Ce programme fait partie intégrante... du client WebStorage d'Asus.

"Le logiciel ASUS WebStorage est vulnérable à ce type d'attaque", a déclaré Anton Cherepanov, de Eset. "À savoir, la mise à jour du logiciel est demandée et transférée via HTTP. Une fois qu'une mise à jour est téléchargée et prête à être exécutée, le logiciel ne valide pas son authenticité avant son exécution. Ainsi, si le processus de mise à jour est intercepté par des attaquants, ils sont capables de pousser une mise à jour malveillante".

Plead utilisera des routeurs "compromis" en tant que serveurs de commande et de contrôle. La plupart des organisations qui ont été attaquées utilisent toutes le même type de routeurs, avec des paramètres d'administration accessibles via Internet.
"Ainsi, nous pensons qu'une attaque MitM au niveau du routeur est le scénario le plus probable", a insisté Cherepanov.

La réponse d'Asus

Selon Eset, BlackTech aurait probablement utilisé une autre attaque et au sein de la chaîne d'approvisionnement. Ce type de violation se produit dans la chaîne d'approvisionnement du fabricant, où les mesures de sécurité peuvent être parfois plus laxistes. Les chercheurs expliquent que même si ce vecteur est possible, il est bien moins probable.

Cherepanov donne le conseil suivant : "Il est très important que les développeurs de logiciels surveillent de manière approfondie leur environnement pour détecter d'éventuelles intrusions, mais aussi qu'ils mettent en œuvre des mécanismes de mise à jour appropriés dans leurs produits et qui résistent aux attaques MitM".

Voici la réponse officielle d'Asus, récupérée auprès de TechSpot :

"ASUS Cloud a appris l'existence d'un incident à la fin d'avril 2019, lorsqu'un de nos clients nous a contactés pour des raisons de sécurité. Dès qu'il a eu connaissance de l'incident, ASUS Cloud a immédiatement pris des mesures pour atténuer l'attaque en arrêtant le serveur de mise à jour ASUS WebStorage [...] En réponse à cette attaque, ASUS Cloud a revu l'architecture de l'hôte du serveur de mise à jour et a mis en place des mesures de sécurité visant à renforcer la protection des données. Cela permettra d'éviter des attaques similaires à l'avenir. Néanmoins, ASUS Cloud recommande vivement aux utilisateurs des services ASUS WebStorage d'exécuter immédiatement une analyse antivirus complète pour assurer l'intégrité de vos données personnelles.".

Les "mesures de sécurité" n'ont cependant pas été précisées par Asus. Et tant que des experts en sécurité indépendants ne disent pas si le logiciel peut être utilisé en toute sécurité ou non, il vaudra mieux l'éviter. Pour les utilisateurs d'Asus WebStorage, n'hésitez pas à procéder à une analyse anti-virus complète dès maintenant.