更新时间:2021-10-26 08:54:13
华硕今天发布了新版LiveUpdateTool,其中包含漏洞补丁。这些漏洞被一个组织利用,ShadowHammer后门被部署在多达100万台Windows PC上。
AsusLiveUpdate3.6.8包含上述补丁,这些补丁是硬件供应商在今天的新闻稿中宣布的。
该公司表示,华硕LiveUpdatev3.6.8“引入了多种安全认证机制,通过软件更新或其他方式防止任何恶意操作,并实现了增强的端到端加密机制。”
华硕还表示,它更新并加强了“服务器到终端用户的软件架构,以防止类似的攻击在未来发生。”
昨天,该公司的声明在科技新闻网站“主板”上披露,一群黑客破坏了ASUSLiveUpdate的基础设施,并提供了ASUSLiveUpdate工具的后门版本。
KasperskyLab和Symantec的初步评估估计,受感染的用户数量在50万到100万之间。
不过,在今天的发布会上,华硕淡淡地表示,只有“少数设备植入了恶意代码”。
据该公司称,只有笔记本电脑使用的实时更新工具得到了备份,而不是其应用程序的所有实例——它被用作全球数百万台设备上的固件更新实用程序。
虽然直接访问自己的服务器日志并了解黑客攻击的情况大约需要两个月的时间,但华硕无法提供可靠的受影响用户数量。
卡巴斯基声称的影锤操作已经感染了数十万用户,但是隐藏在LiveUpdate工具中的影锤恶意软件不会感染用户的额外有效负载,除非他们的设备有特定的MAC地址。
卡巴斯基表示,他们收集的备份的实时更新版本的特点是有600多个唯一的MAC地址,Shadowammer恶意软件将在这些地址发起进一步的攻击。
很明显,#Shadowammer的Mac之一被成千上万的主机使用:它是VMwareVMNet8适配器,默认Mac是00:5033605633333:08。如果你有一个人-放松。你可能只是一个偶然的目标。请检查是否在2018年运行软件更新程序。
另一个案例是0c :5 b 33608 f :2733609 a :64。这款产品是华为E3772USB4G加密狗使用的,对于这类设备的所有拥有者来说似乎都是一样的。似乎影锤的目标在某些情况下不准确,可能会导致意外感染。
在某些情况下,#Shadowammer后门会检查网卡和WiFi适配器MAC,以识别进一步发展的受害者。只有当两个地址匹配时,才会部署第二层。这真的很有针对性。
现在华硕以这种非常先进的目标选择机制为借口,淡化事件的严重性,完全无视黑客组织可以在此过程中直接访问其软件更新服务器的事实。
该公司发布了LiveUpdate3.6.8,但尚不清楚更新到此版本是否会删除旧版本备份的LiveUpdate版本的所有痕迹。
许多其他问题仍然没有答案。例如,一个普通的华硕客户如何知道自己是否自动收到了LiveUpdate的备份版本?可能大部分用户都不在影锤组,但所有收到LiveUpdate应用反向版本的华硕用户都需要擦除重新安装系统才能完全安全,还是更新到v3.6.8就足够了?
华硕表示,其客服一直在联系受影响用户并提供协助,但公司并未提供任何有用信息,否则。
事实上,该公司的新闻稿显示了对卡巴斯基及其客户群的一点不尊重。
华硕没有感谢俄罗斯反病毒提供商发现了这个安全漏洞,而是链接到卡巴斯基竞争对手网站上的一个网页,其中包含了黑客组织的一般信息。点击此链接的华硕客户不会收到任何关于影锤攻击的有用信息,他们会更加疑惑这和影锤攻击有什么关系。这一页甚至没有提到它。
卡巴斯基表示,此次攻击的幕后黑手——,据信是黑客——,在2018年11月停止了华硕服务器上的所有活动,当时他们转向了其他行动。
关注一下匆匆看过影锤故事的人:据我们了解,目前华硕的更新非常不错。袭击者似乎在2018年11月停止了活动,转向其他目标。哪一个?#SAS 2019要到2周后才能知道。今年1月,这家俄罗斯公司发现了华硕LiveUpdate的妥协,并联系了华硕。该公司在过去两个月未能解决黑客事件,直到昨天的事件被媒体曝光。
此外,据报道,昨天,记者的推文爆出了这一消息,而华硕也试图让卡巴斯基签署秘书协议,试图平息这一事件。
华硕没有配合卡巴斯基解决这一事件,也没有向用户提供所有必要的信息,而是试图掩盖这一事件,但事与愿违。
这些做法,以及华硕对任何安全相关问题的无知,是20年前联邦贸易委员会(FederalTradeCommission)在2016年对该公司进行强制性安全审计的原因。这个决定是关于公司的家庭路由器部门,但似乎华硕的个人电脑部门也在同一个不良安全做法的大熔炉里。
现在,在华硕发布更详细的信息之前,华硕客户可以更新到LiveUpdate3.6.8。
他们还可以使用华硕和卡巴斯基提供的应用程序来检查他们设备的MAC地址是否在600台MAC的列表中,这是一个有针对性的Shadowammer操作。该应用程序的网络版本也可以在卡巴斯基的网站上找到。