L'utilitaire de mise à jour d'Asus utilisé par des pirates pour installer des backdoors

18 mai 2019 à 14h04
4
ASUS logo

Le mécanisme de mise à jour d'ASUS a encore une fois été utilisé pour installer des logiciels malveillants sur des ordinateurs personnels, ont rapporté les chercheurs d'Eset en début de semaine.

Des chercheurs en sécurité rapportent que le groupe de hackers BlackTech déployait le logiciel malveillant Plead en utilisant des attaques MitM à Taïwan. Le groupe utilise apparemment une faiblesse du logiciel Asus WebStorage pour télécharger le logiciel malveillant... en contournant l'authentification.

Un logiciel vulnérable

Un début d'année plutôt compliqué pour Asus. Selon des chercheurs en sécurité chez Eset, des pirates informatiques ont exploité le logiciel AsSt WebStorage pour installer des portes dérobées (backdoor) sur les ordinateurs de victimes. Le malware utilisé s'appelle Plead. Pour information, BlackTech cible principalement les gouvernements asiatiques et des entreprises victimes d'attaques de cyber-espionnage. Eset a détecté l'activité illicite à Taiwan, où le malware est le plus actif.

Généralement, les logiciels malveillants sont distribués via des attaques de phishing. Cependant, cette fois-ci, les chercheurs ont remarqué qu'un processus appelé AsusWSPanel.exe activait la backdoor Plead. Ce programme fait partie intégrante... du client WebStorage d'Asus.

"Le logiciel ASUS WebStorage est vulnérable à ce type d'attaque", a déclaré Anton Cherepanov, de Eset. "À savoir, la mise à jour du logiciel est demandée et transférée via HTTP. Une fois qu'une mise à jour est téléchargée et prête à être exécutée, le logiciel ne valide pas son authenticité avant son exécution. Ainsi, si le processus de mise à jour est intercepté par des attaquants, ils sont capables de pousser une mise à jour malveillante".

Plead utilisera des routeurs "compromis" en tant que serveurs de commande et de contrôle. La plupart des organisations qui ont été attaquées utilisent toutes le même type de routeurs, avec des paramètres d'administration accessibles via Internet.
"Ainsi, nous pensons qu'une attaque MitM au niveau du routeur est le scénario le plus probable", a insisté Cherepanov.

La réponse d'Asus

Selon Eset, BlackTech aurait probablement utilisé une autre attaque et au sein de la chaîne d'approvisionnement. Ce type de violation se produit dans la chaîne d'approvisionnement du fabricant, où les mesures de sécurité peuvent être parfois plus laxistes. Les chercheurs expliquent que même si ce vecteur est possible, il est bien moins probable.

Cherepanov donne le conseil suivant : "Il est très important que les développeurs de logiciels surveillent de manière approfondie leur environnement pour détecter d'éventuelles intrusions, mais aussi qu'ils mettent en œuvre des mécanismes de mise à jour appropriés dans leurs produits et qui résistent aux attaques MitM".

Voici la réponse officielle d'Asus, récupérée auprès de TechSpot :

"ASUS Cloud a appris l'existence d'un incident à la fin d'avril 2019, lorsqu'un de nos clients nous a contactés pour des raisons de sécurité. Dès qu'il a eu connaissance de l'incident, ASUS Cloud a immédiatement pris des mesures pour atténuer l'attaque en arrêtant le serveur de mise à jour ASUS WebStorage [...] En réponse à cette attaque, ASUS Cloud a revu l'architecture de l'hôte du serveur de mise à jour et a mis en place des mesures de sécurité visant à renforcer la protection des données. Cela permettra d'éviter des attaques similaires à l'avenir. Néanmoins, ASUS Cloud recommande vivement aux utilisateurs des services ASUS WebStorage d'exécuter immédiatement une analyse antivirus complète pour assurer l'intégrité de vos données personnelles.".

Les "mesures de sécurité" n'ont cependant pas été précisées par Asus. Et tant que des experts en sécurité indépendants ne disent pas si le logiciel peut être utilisé en toute sécurité ou non, il vaudra mieux l'éviter. Pour les utilisateurs d'Asus WebStorage, n'hésitez pas à procéder à une analyse anti-virus complète dès maintenant.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
0
sources
Logiciel bien inutile. Comme s’il n’y avait pas déjà assez de solutions de cloud. Les constructeurs de pc installent n’importe quoi sur leurs machines. Autant faire le ménage dès le premier démarrage.
philumax
c’est pas neuf, cette “new”
Matrix-7000
Ce n’est pas la première foi que cela arrive chez Asus. C’est un problème récurent qu’ils semblent avoir beaucoup de mal à comblé. Je me souviens du temps ou je montais moi-même mes machines, que ceci avais déjà eu lieu.
PaixSurLaLune
Pirate informatique (FR) - hacker (EN)<br /> Porte dérobée (FR) - back door, backdoor (EN)<br /> Plaider, supplier, implorer, alléguer (FR) - Plead (EN)<br /> Attaque de l’Homme du Milieu (HDM) ou Attaque de l’Intercepteur (ADI) (FR) - Man-In-The-Middle attack (MITM) (EN)<br /> « Asus WebStorage » - « AsSt WebStorage » ?<br /> Hameçonnage (FR) - phishing (EN)<br /> Protocole de Transfert HyperTexte (PTHT) (FR)- HyperText Transfer Protocol (HTTP) (EN)<br /> Le Nuage Asus (FR) - ASUS Cloud (EN)<br /> « Asus WebStorage »<br /> « Pled »
Voir tous les messages sur le forum

Actualités du moment

Les services VPN refusent les exigences russes et retirent leurs serveurs du pays
Amazon investit 575 millions de dollars dans Deliveroo
🔥 Fête des Mères : notre sélection de cadeaux high-tech !
Les Tamagotchi sont de retour ! Et ils peuvent désormais se marier entre eux
⚡ Astuce Fnac : Xbox one X à 499,99€ + 75€ de bon d'achat sur la carte Fnac
VivaTech 2019 : Immersion 4 présente son système de refroidissement pour data centers
Heaven’s Vault : un pas vaut mieux que deux tu courras (🎧 article à écouter)
Alfa-X, iPhone 11, Volkswagen ID.3, Windows, Netflix : les actus tech' de la semaine
🔥 Cdiscount : notre sélection de smartphones à prix réduits
Le jeu Steep gratuit sur Uplay
Haut de page