Backdoor: ASUS war seit Monaten vor Risiken gewarnt

Zwei Monate bevor bekannt wurde, dass das ASUS Live Update Utility kompromittiert und mit einer Backdoor versehen war, hatten Sicherheitsforscher den PC-Hersteller genau vor so etwas gewarnt. Denn sie waren auf unglaubliche Schlampereien gestoßen.

Worum geht es in diesem Fall?

Auf den meisten ASUS-Computern ist ein Dienstprogramm mit dem Namen ASUS Live Update vorinstalliert. Dieses wird zur automatischen Aktualisierung bestimmter Komponenten wie BIOS, UEFI, Treiber und Anwendungen verwendet.

Ungekannte Angreifer haben eine alte Version des Dienstprogramms ASUS Live Update genommen, und einen Schadcode für eine Back injiziert. Diese trojanische Version des Dienstprogramms wurde dann mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet. Natürlich wurde diese Version anschließend auch verteilt. Ich hatte einige Informationen im Blog-Beitrag ShadowHammer: ASUS Live Update mit Backdoor infiziert veröffentlicht.

Sicherheitsforscher hatten ASUS gewarnt

Techcrunch berichtet in diesem Artikel, dass das Ganze eine Katastrophe mit Ansage war. Ein Sicherheitsforscher hatte Asus vor zwei Monaten gewarnt. Ihm war aufgefallen, dass Mitarbeiter von ASUS in ihren GitHub-Repositorys Passwörter, die für den Zugriff auf das Firmennetzwerk des Unternehmens verwendet werden könnten, unsachgemäß veröffentlicht hatten.

Ein Passwort, das in einem Mitarbeiter-Repo über die Code-Sharing-Funktion gefunden wurde, ermöglichte es dem Sicherheitsforscher, auf ein E-Mail-Konto zuzugreifen. Dieses E-Mail-Konto wird von internen Entwicklern und Ingenieuren bei ASUS verwendet, um nächtliche Builds von Apps, Treibern und Tools an Computerbesitzer weiterzugeben.

"Es war eine tägliche Release-Mailbox, an die automatisierte Builds gesendet wurden", sagte der Sicherheitsforscher mit dem Online-Namen SchizoDuckie gegenüber TechCrunch. E-Mails im Postfach enthielten genau den internen Netzwerkpfad, in dem Treiber und Dateien gespeichert waren.

Der Forscher testete nicht, inwieweit ihm der Zugriff auf das Konto hätte gewährt werden können- Er warnte aber, dass es einfach sei, in das Netzwerk einzudringen. "Alles, was Sie brauchen, ist eine dieser E-Mails mit einem Anhang an einen der Empfänger für einen wirklich netten Spear-Phishing-Angriff", sagte der Sicherheitsforscher.

Das fragliche Repository gehörte einem ASUS-Ingenieur, der die Passwörter des E-Mail-Kontos für mindestens ein Jahr öffentlich zugänglich machte. Das Repository wurde inzwischen gelöscht, aber das GitHub-Konto existiert noch.

Schlamperei sondergleichen

Es bleibt zwar anzumerken, dass die Hinweise des Sicherheitsforschers den oben erwähnten Angriff wohl nicht verhindert hätten. Dieser fand ja bereits im Sommer 2018 statt. Aber die obige Episode zeigt, wie es um die Sicherheit in mancher Supply-Chain (Lieferkette) der Hersteller bestellt ist.

Der Sicherheitsforscher fand mindestens zwei weitere Fälle von Asus-Ingenieuren, die Firmenpasswörter auf ihren GitHub-Seiten offenbarten. Ein Asus-Softwarearchitekt mit Sitz in Taiwan – dort hat das Unternehmen seinen Hauptsitz – hinterließ auf seiner GitHub-Seite einen Benutzernamen und ein Passwort im Code. Ein weiterer Dateningenieur mit Sitz in Taiwan hatte ebenfalls Zugangsdaten in seinem Code vergessen. "Unternehmen haben keine Ahnung, was ihre Programmierer mit ihrem Code auf GitHub machen", sagt der Forscher.

Einen Tag nachdem Techcrunch ASUS auf die E-Mail des Forschers aufmerksam gemacht hatte, wurden die Repositories mit den Zugangsdaten auf GitHub gelöscht. ASUS-Sprecher Randall Grilli sagte TechCrunch, dass der Computerhersteller "nicht in der Lage sei, die Gültigkeit der Behauptungen in den E-Mails des Forschers zu überprüfen". "Asus untersucht aktiv alle Systeme, um alle bekannten Risiken von unseren Servern und unterstützender Software zu entfernen und sicherzustellen, dass es keine Datenlecks gibt", fügte er hinzu. Dann ist natürlich alles im grünen Bereich.