ShadowHammer: Mangelnde Sicherheitsvorkehrungen bei ASUS?

März 30, 2019 11:48 am Veröffentlicht von

Gelangten Zugangsdaten ins Netz, die Operation ShadowHammer möglich machten?

 

Nachdem durch Kaspersky öffentlich wurde, dass infizierte Asus-Updates über einen firmeneigenen Server verbreitet wurden, geriet der taiwanesische Hardware-Hersteller stark in die Kritik. Jetzt machte ein Sicherheitsforscher bekannt, dass Software-Builds und sogar Zugangsdaten von ASUS-Mitarbeitern zur Zeit des Shadowhammer-Angriffs öffentlich im Netz zugänglich waren.

 

 

Operation ShadowHammer

Das russische Cyber-Sicherheitsunternehmen Kaspersky Lab wurde auf das Update-Problem aufmerksam, als es schädlichen Code im Zusammenhang mit der „ASUS Live Update Utility“ auf den Rechnern von 57.000 seiner Kunden entdeckte.

Das für das regelmäßige Aktualisieren von ASUS-Notebooks und -PCs zuständige Tool verteilte, neben den üblichen Treibern und Software-Patches, auch ein vermeintliches Update, welches Schadcode auf ASUS-Rechner schleusten.

Dieses Update kam dabei von firmeneigenen Servern, was von ASUS unbemerkt blieb, da die Angreifer über gültige ASUS-Zertifikate verfügten und die Malware-Updates damit glaubwürdig signieren konnten.

Kaspersky machte den Hardware-Hersteller Ende Januar darauf aufmerksam, dass Angreifer Zugang zu Update- und Signatur-Servern hätten.

Nach anfänglichem Schweigen hat das taiwanesische Unternehmen mittlerweile reagiert und in einer Pressemitteilung Stellung bezogen. Außerdem wurde eine gefixte Version der Live Update Utility veröffentlicht. Dazu gibt es ebenfalls ein Tool, mit dem Nutzer überprüfen können, ob sie betroffen sind.

 


  • Sie sind sich nicht sicher, ob Sie betroffen sind?
  • Sie benötigen Sie Hilfe bei Updates und Patches?
    Wir sind für Sie da!
    0221 / 630 6151 60

 

Haben Mitarbeiter den ShadowHammer-Angriff begünstigt?

Ein Sicherheitsforscher, der sich auf Twitter „SchizoDuckie“ nennt, hat drei Fälle dokumentiert, bei denen Mitarbeiter von ASUS Software sowie Zugangsdaten des Unternehmens im Internet veröffentlicht hatten. In einem der drei Fälle sollen die Daten über ein Jahr zugänglich gewesen sein: Über jenen Zeitraum verteilt, in welchem auch die Operation ShadowHammer stattfand.

Die Daten fanden sich – für Jedermann zugänglich – auf GitHub, einer File-Hosting-Plattform für Software-Entwicklungsprojekte.

Bei der dort abgelegten ASUS-Software handelte es sich allerdings um stets aktuelle, täglich automatisch hochgeladene Software-Builds, während es sich bei der für die ShadowHammer-Angriffe benutzte Software um etwa drei Jahre alte, manipulierte .exe-Dateien handelte.
Ein direkter Zusammenhang mit den Angriffen ist also eher unwahrscheinlich.

Interessanter sind dabei vielmehr die gefundenen Zugangsdaten.

Im zu den Zugangsdaten zugehörigen Postfach entdeckte SchizoDuckie Emails mit Verweisen auf interne Dateipfade, unter welchen sich Treiber und andere sensible Dateien fanden.
Viel gravierender ist allerdings die Tatsache, dass sich mit dem Zugriff auf Email-Postfächer von Mitarbeitern ohne große Schwierigkeiten Spear-Phishing-Angriffe durchführen lassen. Hat ein Angreifer die Möglichkeit, sich als ein Mitarbeiter auszugeben, kann er schnell an sensible und vertrauliche Informationen gelangen. Auch weitere, präzisere Angriffe sind dadurch möglich und einfacher durchzuführen.

 

ASUS streitet die Vorfälle ab

Den Nachfragen des IT-Nachrichtenportal TechCrunch gegenüber zeigte sich das Unternehmen eher skeptisch und undankbar über die Entdeckungen des Sicherheitsforschers SchizoDuckie. Das Unternehmen sähe sich nicht in der Lage, die Richtigkeit der Behauptungen zu bestätigen. Allerdings sagte das Unternehmen auch aus, dass es sich um alle bekannten Sicherheitsrisiken kümmere und sämtliche System überprüfe, um sicherzustellen, dass es keine Datenlecks gäbe.

SchizoDuckie hatte das Unternehmen am 1. Februar 2019 auf die Datenlecks hingewiesen.
Bereits einen Tag später waren alle auffindbaren ASUS-Zugangsdaten auf GitHub verschwunden.

Die Zugangsdaten von dem Postfach, auf das der Sicherheitsforscher Zugriff hatte, funktionierten allerdings noch weitere sechs Tage nach Meldung des Vorfalls an das Unternehmen.

 


  • Minimieren Sie potentielle Sicherheitsrisiken
  • Verschaffen Sie sich einen Überblick über den Zustand Ihrer Firmen-IT

Profitieren Sie von unserer kostenlosen Sicherheitsanalyse, um Schwachstellen in Ihrem Netzwerk aufzudecken und zu beheben.


 

Mangelndes Sicherheitsbewusstsein ist ein enormes Risiko

Dass sensible Geschäftsdokumente, Kundeninformationen oder Zugangsdaten ins Netz gelangen, passiert immer wieder. Meistens stehen diese Datenlecks aber im direkten Zusammenhang mit Cyberangriffen: Besonders mit gestohlenen Zugangsdaten und Zahlungsinformationen lässt sich im Deep Web nämlich viel Geld verdienen.

Allerdings kommt es auch vor, dass aus reiner Unachtsamkeit oder mangelnder Kenntnis sensible Daten versehentlich ins Netz gestellt werden. Öffentlich und für Jedermann zugänglich. Je nach Art der Daten, können dabei für Unternehmen enorme Schäden entstehen.
Geschäftsgeheimnisse landen bei der Konkurrenz, das Veröffentlichen von Kundendaten verstößt gegen den Datenschutz und Zugangsinformationen öffnen Cyberkriminellen Tür und Tor.

Damit solche Vorfälle vermieden werden können, ist es wichtig, dass Unternehmen über klare Richtlinien, Sicherheitskonzepte und -strategien verfügen. Noch wichtiger ist es, dass diese dann auch eingehalten werden.

Um dies sicherzustellen ist es ratsam, sämtliche Mitarbeiter angemessen zu schulen. Nicht nur, um das Sicherheitsbewusstsein zu erhöhen, sondern auch, um sicherzustellen, dass die nötige technische Kenntnis vorhanden ist. Auf diese Weise wird vermieden, dass Dateien beispielsweise versehentlich im falschen Ordner oder auf dem falschen Server abgelegt werden.

 

Kastl & Rieter – IT-Sicherheit rundum

Wir vom Kastl & Rieter IT-Service sind auf die Bedürfnisse kleiner und mittlerer Unternehmen, die über keine eigenen IT-Fachkräfte verfügen, spezialisiert. Daher gibt es bei uns IT-Service rundum und aus einer Hand.

Wir kümmern uns nicht nur um die technische Betreuung mit Soforthilfe, Wartung, regelmäßigen Backups und der Einrichtung angemessener Cyber-Sicherheitsmaßnahmen. Zu einer rundum sicheren Unternehmens-IT gehört auch ein geschultes und aufmerksames Personal, welches mit der IT arbeitet.

Deshalb bieten wir Schulungen und Workshops an, die Ihre Mitarbeiter für die Gefahren im Netz sensibilisieren und sie fit machen für sicheres Arbeiten im Firmennetzwerk.

Damit verhindern Sie, dass es zu Vorfällen wie bei ASUS kommt, minimieren das Risiko von Cyberangriffen und sparen dabei durch Vorbeugung auch noch Geld.

Hier finden Sie einen genaueren Überblick über unsere Leistungen und Serviceangebote.

Wenn Sie sich also nicht sicher sind, ob mit Ihrer Firmen-IT alles in Ordnung ist, Sie sich technische Betreuung oder Schulung für Ihr Personal wünschen, dann kontaktieren Sie uns gerne.

Rufen Sie uns an ( 0221 / 630 6151 60 ) und lassen Sie sich beraten. Oder schreiben Sie uns eine Nachricht via Kontaktformular.

 

Wir freuen uns auf Sie

Ihr Kastl & Rieter IT-Service

 

 

Quelle:
https://www.heise.de/security/meldung/Leichtsinnige-ASUS-Mitarbeiter-koennten-ShadowHammer-Angriff-beguenstigt-haben-4355188.html