wVxdMfB

ASUS – Update Software mit Sicherheitsproblemen


In der letzten Woche gab es bereits eine Studie von Duo Labs, die sich die vorinstallierten Software-Pakete verschiedener Hersteller angeschaut hatten und dabei zu dem Schluss kamen, das die meisten Hersteller (Asus, Acer, Dell, HP und Lenovo ) Sicherheitsprobleme hatten. Sehr oft war es dabei die Software, mit der automatisch das System auf dem neusten Stand gehalten werden soll, die Lücken aufwies.

Das dies nicht nur ein theoretisches Problem ist, zeigt nun ein neuer Blogbeitrag, in dem gezeigt wird, wie schnell und einfach man einem ASUS System ein falsches Update unterschieden kann – zumindest in offenen Netzwerken scheint die Gefahr daher gegeben zu sein. ASUS ruft die Updates dabei über eine normale HTTP Verbindung ab, es wird dabei nicht geprüft oder abgesichert, ob die Daten auch wirklich von ASUS kommen.  Man kann daher mit relativ wenig Aufwand dem System ein falsches Update unterschieben, in dem man die Verbindung entsprechend manipuliert.

In Blog-Beitrag dazu heißt es:

ASUS’ LiveUpdate software is preinstalled on computers shipped by ASUS. It is responsible for delivering updates, new versions of the BIOS/UEFI Firmware and executables for use with ASUS software. Content is delivered via ZIP archives over plain HTTP, extracted into a temporary directory and an executable run as a user in the “Administrators” NT group (“Highest Permissions” task scheduler). There is no verification or authentication of source or content at any point in this process, allowing trivial escalation to NT AUTHORITY\SYSTEM.

Bisher scheint diese Sicherheitslücke noch nicht ausgenutzt zu werden. Es gibt aber auch noch keinen Patch oder ein Statement von ASUS dazu. Bleibt daher zu hoffen, das ASUS schneller reagiert als die Macher von passender Malware.

Andere Anbieter waren da im Übrigen fleißiger. HP hat bereits sieben Sicherheitslücken geschlossen und DELL ebenfalls bereits einige Schwachstellen ausgemerzt. Lenovo will in den nächsten Wochen das System patschen.



Wichtig: Hilfe zu inhaltlichen Themen kann am einfachsten in unserem Hilfe-Bereich bekommen werden. Dort kann man schnell und einfach bei Problemen und Schwierigkeiten nachfragen und entweder die Redaktion oder auch fachkundige Nutzer beantworten die Frage. Dazu können dann auch andere Nutzer mit dem gleichen Problem die Lösung dazu lesen und müssen nicht mehr selbst eine Frage stellen.