研究:华硕Live Update更新出漏洞 影响超百万台PC

研究:华硕Live Update更新出漏洞 影响超百万台PC
2019年03月26日 00:48 新浪科技

  新浪科技讯 北京时间3月26日早间消息,据美国科技媒体TechCrunch报道,来自卡巴斯基实验室(Kaspersky Labs)的安全研究人员周一表示,他们发现去年黑客通过华硕Live Update软件的漏洞入侵计算机,向100多万华硕电脑用户发送了恶意软件,导致这些电脑可能存在后门。

  研究人员说,攻击最早是在2019年1月发现的。代号为“Operation ShadowHammer”的攻击活动是2018年6月至11月发生,目的是提供一个带有后门的软件更新,让黑客能够进入受感染的电脑,可能影响无数用户。

  华硕的大多电脑都预装Live Update Utility软件,而Operation ShadowHammer攻击活动瞄准的正是这款软件。华硕Live Update确保计算机系统(比如驱动、App、BIOS、UEFI)到期之后能及时更新。

  卡巴斯基表示,超过5.7万名用户下载并安装了受攻击的华硕更新,但黑客的目标是数量较少的不明受害者。通过漏洞,Operation ShadowHammer可以发起非常复杂的供应链攻击,其复杂性超过Shadowpad和CCleaner攻击。

  “我们无法仅根据我们的数据计算受影响用户的总数;然而,我们估计,这个问题的真正规模要大得多,可能会影响全球100多万用户,”卡巴斯基在一篇博客文章中表示。

  卡巴斯基认为,只要软件拥有合法华硕安全证书,攻击就不会被发现。而且更新还寄存于合法华硕更新域名内,比如liveupdate01s.asus[.]com和liveupdate01.asus[.]com,从而确保Operation ShadowHammer活动更难被察觉。

  同时,赛门铁克发言人表示,该公司的研究人员也能够识别针对华硕用户的攻击。

  而华硕表示,将于周二发布一份声明。

  这次攻击最先由科技新闻网站Motherboard报道,显示出黑客能够利用科技公司及其供应商的规模,接触到大量受害者。

  卡巴斯基表示,该公司已于今年1月将攻击事件通知华硕,并正在协助华硕展开调查。不过Motherboard报道称,此前围绕这一问题,华硕与卡巴斯基代表协商,不过当时没有后续。华硕拒绝承认自己的服务器有漏洞,继续使用其中一种有漏洞的安全证书,通知之后至少过了一个月,出现一起攻击事件,它就是由此证书引起的。之后华硕停用证书,但是证书仍然可以被唤醒。

  美国科技媒体ZDNet认为,华硕可能不是故意通过更新系统将恶意软件散播给如此多的用户。不过攻击者似乎只是瞄准600个目标,硬编码到恶意软件中,然后根据网络适配器使用的独特MAC地址来确认。

  通过恶意软件的“Surgical”过滤方法可以确定受害者,然后木马软件将后门装到机器,并下载更多东西。研究人员说,如果你已经下载软件和后门,但是不在目标名单之上,恶意软件不会有进一步动作。

  对Operation ShadowHammer的调查还在继续,4月份,在卡巴斯基安全分析师峰会(SAS)上,将会公布结果,并发表技术报告。(中天)

新浪科技公众号
新浪科技公众号

“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)

创事记

科学探索

科学大家

苹果汇

众测

专题

官方微博

新浪科技 新浪数码 新浪手机 科学探索 苹果汇 新浪众测

公众号

新浪科技

新浪科技为你带来最新鲜的科技资讯

苹果汇

苹果汇为你带来最新鲜的苹果产品新闻

新浪众测

新酷产品第一时间免费试玩

新浪探索

提供最新的科学家新闻,精彩的震撼图片