L'utilitaire de mise à jour d'Asus utilisé par des pirates pour installer des backdoors

le 18 mai 2019 à 14h04
0
ASUS logo

Le mécanisme de mise à jour d'ASUS a encore une fois été utilisé pour installer des logiciels malveillants sur des ordinateurs personnels, ont rapporté les chercheurs d'Eset en début de semaine.

Des chercheurs en sécurité rapportent que le groupe de hackers BlackTech déployait le logiciel malveillant Plead en utilisant des attaques MitM à Taïwan. Le groupe utilise apparemment une faiblesse du logiciel Asus WebStorage pour télécharger le logiciel malveillant... en contournant l'authentification.

Un logiciel vulnérable


Un début d'année plutôt compliqué pour Asus. Selon des chercheurs en sécurité chez Eset, des pirates informatiques ont exploité le logiciel AsSt WebStorage pour installer des portes dérobées (backdoor) sur les ordinateurs de victimes. Le malware utilisé s'appelle Plead. Pour information, BlackTech cible principalement les gouvernements asiatiques et des entreprises victimes d'attaques de cyber-espionnage. Eset a détecté l'activité illicite à Taiwan, où le malware est le plus actif.

Généralement, les logiciels malveillants sont distribués via des attaques de phishing. Cependant, cette fois-ci, les chercheurs ont remarqué qu'un processus appelé AsusWSPanel.exe activait la backdoor Plead. Ce programme fait partie intégrante... du client WebStorage d'Asus.

"Le logiciel ASUS WebStorage est vulnérable à ce type d'attaque", a déclaré Anton Cherepanov, de Eset. "À savoir, la mise à jour du logiciel est demandée et transférée via HTTP. Une fois qu'une mise à jour est téléchargée et prête à être exécutée, le logiciel ne valide pas son authenticité avant son exécution. Ainsi, si le processus de mise à jour est intercepté par des attaquants, ils sont capables de pousser une mise à jour malveillante".

Plead utilisera des routeurs "compromis" en tant que serveurs de commande et de contrôle. La plupart des organisations qui ont été attaquées utilisent toutes le même type de routeurs, avec des paramètres d'administration accessibles via Internet.
"Ainsi, nous pensons qu'une attaque MitM au niveau du routeur est le scénario le plus probable", a insisté Cherepanov.

La réponse d'Asus


Selon Eset, BlackTech aurait probablement utilisé une autre attaque et au sein de la chaîne d'approvisionnement. Ce type de violation se produit dans la chaîne d'approvisionnement du fabricant, où les mesures de sécurité peuvent être parfois plus laxistes. Les chercheurs expliquent que même si ce vecteur est possible, il est bien moins probable.

Cherepanov donne le conseil suivant : "Il est très important que les développeurs de logiciels surveillent de manière approfondie leur environnement pour détecter d'éventuelles intrusions, mais aussi qu'ils mettent en œuvre des mécanismes de mise à jour appropriés dans leurs produits et qui résistent aux attaques MitM".

Voici la réponse officielle d'Asus, récupérée auprès de TechSpot :

"ASUS Cloud a appris l'existence d'un incident à la fin d'avril 2019, lorsqu'un de nos clients nous a contactés pour des raisons de sécurité. Dès qu'il a eu connaissance de l'incident, ASUS Cloud a immédiatement pris des mesures pour atténuer l'attaque en arrêtant le serveur de mise à jour ASUS WebStorage [...] En réponse à cette attaque, ASUS Cloud a revu l'architecture de l'hôte du serveur de mise à jour et a mis en place des mesures de sécurité visant à renforcer la protection des données. Cela permettra d'éviter des attaques similaires à l'avenir. Néanmoins, ASUS Cloud recommande vivement aux utilisateurs des services ASUS WebStorage d'exécuter immédiatement une analyse antivirus complète pour assurer l'intégrité de vos données personnelles.".

Les "mesures de sécurité" n'ont cependant pas été précisées par Asus. Et tant que des experts en sécurité indépendants ne disent pas si le logiciel peut être utilisé en toute sécurité ou non, il vaudra mieux l'éviter. Pour les utilisateurs d'Asus WebStorage, n'hésitez pas à procéder à une analyse anti-virus complète dès maintenant.
Mots-clés :
Asus
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.
Sélection Clubic VPN 2019

Les dernières actualités

General Motors envisage... un Hummer 100% électrique
Les vélos et trottinettes électriques bientôt légales dans l'état de New York
Radar 360° et caméra arrière, Damon pousse l'innovation sur ses motos électriques
Dr.Mario World arrive le 10 juillet sur iOS et Android
Volkswagen garantira les batteries de l'ID.3 pendant 8 ans : une première
Selon Kuo, Apple proposerait à nouveau un smartphone compact en 2020
RCS : le successeur du SMS arrive et c'est Google qui s'en charge
Salon du Bourget - Drones : Dassault et XSun présentent un prototype autonome à alimentation solaire
Test du Jabra Elite 85h : un casque Bluetooth performant dans tous les domaines
Libra : ce qu'il faut savoir sur la cryptomonnaie annoncée de Facebook
scroll top