L'utilitaire ASUS Live Update devient backdoor après un piratage !

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités L'utilitaire ASUS Live Update devient backdoor après un piratage !

Publié le 26 mars 2019 à 16:10 par Jérôme G.

Lire sur mobile

Une attaque sophistiquée a touché ASUS et son utilitaire ASUS Live Update, dont une version compromise a été diffusée auprès d'utilisateurs.

Des chercheurs en sécurité de Kaspersky Lab ont découvert une attaque qualifiée de sophistiquée qui a pris pour cible la chaîne logistique (ou chaîne d'approvisionnement) impliquant l'utilitaire ASUS Live Update. Préinstallé sur la plupart des ordinateurs ASUS, cet utilitaire sert à la mise à jour automatique d'éléments comme le BIOS, UEFI, pilotes et applications.

L'attaque aurait eu lieu entre juin et novembre 2018 et aurait affecté un grand nombre d'utilisateurs. D'après les données de télémétrie de Kaspersky Lab, plus de 57 000 de ses propres utilisateurs ont téléchargé ce qui était alors une backdoor de la version saine d'ASUS Live Update. Par extrapolation, plus d'un million d'utilisateurs dans le monde auraient pu être affectés.

#ShadowHammer : des mises à jour malveillantes sur les ordinateurs portables #ASUS de près d'1 million de personnes... https://t.co/Pyv8Ci51p3 pic.twitter.com/25QaE4dpd5
— Kaspersky Lab France (@kasperskyfrance) 25 mars 2019

Autrement dit, des attaquants ont été en mesure de faire installer un programme malveillant à la suite d'une compromission de l'utilitaire d'ASUS sur les serveurs du fabricant taïwanais. Une opération qui a été baptisée ShadowHammer.

Une charge utile malveillante n'était déclenchée que si un ordinateur faisait partie d'une liste de plus de 600 appareils avec des adresses MAC codées en dur dans le malware. Sans quoi, il n'y avait a priori pas d'action nuisible.

C'était donc une opération très ciblée qui sous plusieurs aspects rappelle la mésaventure connue avec CCleaner en 2017. Il pourrait d'ailleurs avoir un lien. Kaspersky Lab souligne que les mises à jour avec cheval de Troie ont été signées avec des certificats légitimes et avec hébergement sur les serveurs officiels d'ASUS.

ASUS a été informé de la situation le 31 janvier 2019. Une enquête est toujours en cours. Kaspersky Lab propose de vérifier en ligne si une adresse MAC d'un ordinateur est susceptible d'avoir été prise pour cible.

De son côté, ASUS vient de publier un article et une FAQ concernant cette attaque sophistiquée. Le fabricant précise que seule la version de Live Update utilisée pour les notebooks a été affectée, et que des mesures correctrices ont été apportées à la dernière version (3.6.8). Pour le code malveillant lors de l'attaque sur ses serveurs Live Update, seul un petit nombre d'appareils serait concerné.

ASUS a également créé un outil de diagnostic de sécurité pour vérifier les systèmes affectés.