L'utilitaire de mise à jour d'Asus utilisé par des pirates pour installer des backdoors

18 mai 2019 à 14h04
0
ASUS logo

Le mécanisme de mise à jour d'ASUS a encore une fois été utilisé pour installer des logiciels malveillants sur des ordinateurs personnels, ont rapporté les chercheurs d'Eset en début de semaine.

Des chercheurs en sécurité rapportent que le groupe de hackers BlackTech déployait le logiciel malveillant Plead en utilisant des attaques MitM à Taïwan. Le groupe utilise apparemment une faiblesse du logiciel Asus WebStorage pour télécharger le logiciel malveillant... en contournant l'authentification.

Un logiciel vulnérable

Un début d'année plutôt compliqué pour Asus. Selon des chercheurs en sécurité chez Eset, des pirates informatiques ont exploité le logiciel AsSt WebStorage pour installer des portes dérobées (backdoor) sur les ordinateurs de victimes. Le malware utilisé s'appelle Plead. Pour information, BlackTech cible principalement les gouvernements asiatiques et des entreprises victimes d'attaques de cyber-espionnage. Eset a détecté l'activité illicite à Taiwan, où le malware est le plus actif.

Généralement, les logiciels malveillants sont distribués via des attaques de phishing. Cependant, cette fois-ci, les chercheurs ont remarqué qu'un processus appelé AsusWSPanel.exe activait la backdoor Plead. Ce programme fait partie intégrante... du client WebStorage d'Asus.

"Le logiciel ASUS WebStorage est vulnérable à ce type d'attaque", a déclaré Anton Cherepanov, de Eset. "À savoir, la mise à jour du logiciel est demandée et transférée via HTTP. Une fois qu'une mise à jour est téléchargée et prête à être exécutée, le logiciel ne valide pas son authenticité avant son exécution. Ainsi, si le processus de mise à jour est intercepté par des attaquants, ils sont capables de pousser une mise à jour malveillante".

Plead utilisera des routeurs "compromis" en tant que serveurs de commande et de contrôle. La plupart des organisations qui ont été attaquées utilisent toutes le même type de routeurs, avec des paramètres d'administration accessibles via Internet.
"Ainsi, nous pensons qu'une attaque MitM au niveau du routeur est le scénario le plus probable", a insisté Cherepanov.

La réponse d'Asus

Selon Eset, BlackTech aurait probablement utilisé une autre attaque et au sein de la chaîne d'approvisionnement. Ce type de violation se produit dans la chaîne d'approvisionnement du fabricant, où les mesures de sécurité peuvent être parfois plus laxistes. Les chercheurs expliquent que même si ce vecteur est possible, il est bien moins probable.

Cherepanov donne le conseil suivant : "Il est très important que les développeurs de logiciels surveillent de manière approfondie leur environnement pour détecter d'éventuelles intrusions, mais aussi qu'ils mettent en œuvre des mécanismes de mise à jour appropriés dans leurs produits et qui résistent aux attaques MitM".

Voici la réponse officielle d'Asus, récupérée auprès de TechSpot :

"ASUS Cloud a appris l'existence d'un incident à la fin d'avril 2019, lorsqu'un de nos clients nous a contactés pour des raisons de sécurité. Dès qu'il a eu connaissance de l'incident, ASUS Cloud a immédiatement pris des mesures pour atténuer l'attaque en arrêtant le serveur de mise à jour ASUS WebStorage [...] En réponse à cette attaque, ASUS Cloud a revu l'architecture de l'hôte du serveur de mise à jour et a mis en place des mesures de sécurité visant à renforcer la protection des données. Cela permettra d'éviter des attaques similaires à l'avenir. Néanmoins, ASUS Cloud recommande vivement aux utilisateurs des services ASUS WebStorage d'exécuter immédiatement une analyse antivirus complète pour assurer l'intégrité de vos données personnelles.".

Les "mesures de sécurité" n'ont cependant pas été précisées par Asus. Et tant que des experts en sécurité indépendants ne disent pas si le logiciel peut être utilisé en toute sécurité ou non, il vaudra mieux l'éviter. Pour les utilisateurs d'Asus WebStorage, n'hésitez pas à procéder à une analyse anti-virus complète dès maintenant.
4 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Netflix menace les partages de compte entre amis
La filière éolienne française se porte bien et continue de créer des emplois
Une nouvelle taxe appliquée sur les billets d'avion dès 2020, pour financer les transports propres
L'armée américaine n'utilisera plus d'antiques disquettes pour coordonner ses frappes nucléaires
Vers des batteries lithium-CO2 rechargeables ?
Finalement, Huawei admet que bâtir une alternative à Android lui prendra des années
19 heures et 16 minutes : Qantas s'offre le record du plus long vol du transport aérien
La bande annonce de Star Wars, l'ascension de Skywalker, est là !
Du code malveillant utilise un format audio pour éviter les antivirus

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top