L'utilitaire de mise à jour d'Asus utilisé par des pirates pour installer des backdoors

Aymeric Geoffre-Rouland
Publié le 18 mai 2019 à 14h04
ASUS logo

Le mécanisme de mise à jour d'ASUS a encore une fois été utilisé pour installer des logiciels malveillants sur des ordinateurs personnels, ont rapporté les chercheurs d'Eset en début de semaine.

Des chercheurs en sécurité rapportent que le groupe de hackers BlackTech déployait le logiciel malveillant Plead en utilisant des attaques MitM à Taïwan. Le groupe utilise apparemment une faiblesse du logiciel Asus WebStorage pour télécharger le logiciel malveillant... en contournant l'authentification.

Un logiciel vulnérable

Un début d'année plutôt compliqué pour Asus. Selon des chercheurs en sécurité chez Eset, des pirates informatiques ont exploité le logiciel AsSt WebStorage pour installer des portes dérobées (backdoor) sur les ordinateurs de victimes. Le malware utilisé s'appelle Plead. Pour information, BlackTech cible principalement les gouvernements asiatiques et des entreprises victimes d'attaques de cyber-espionnage. Eset a détecté l'activité illicite à Taiwan, où le malware est le plus actif.

Généralement, les logiciels malveillants sont distribués via des attaques de phishing. Cependant, cette fois-ci, les chercheurs ont remarqué qu'un processus appelé AsusWSPanel.exe activait la backdoor Plead. Ce programme fait partie intégrante... du client WebStorage d'Asus.

"Le logiciel ASUS WebStorage est vulnérable à ce type d'attaque", a déclaré Anton Cherepanov, de Eset. "À savoir, la mise à jour du logiciel est demandée et transférée via HTTP. Une fois qu'une mise à jour est téléchargée et prête à être exécutée, le logiciel ne valide pas son authenticité avant son exécution. Ainsi, si le processus de mise à jour est intercepté par des attaquants, ils sont capables de pousser une mise à jour malveillante".

Plead utilisera des routeurs "compromis" en tant que serveurs de commande et de contrôle. La plupart des organisations qui ont été attaquées utilisent toutes le même type de routeurs, avec des paramètres d'administration accessibles via Internet.
"Ainsi, nous pensons qu'une attaque MitM au niveau du routeur est le scénario le plus probable", a insisté Cherepanov.

La réponse d'Asus

Selon Eset, BlackTech aurait probablement utilisé une autre attaque et au sein de la chaîne d'approvisionnement. Ce type de violation se produit dans la chaîne d'approvisionnement du fabricant, où les mesures de sécurité peuvent être parfois plus laxistes. Les chercheurs expliquent que même si ce vecteur est possible, il est bien moins probable.

Cherepanov donne le conseil suivant : "Il est très important que les développeurs de logiciels surveillent de manière approfondie leur environnement pour détecter d'éventuelles intrusions, mais aussi qu'ils mettent en œuvre des mécanismes de mise à jour appropriés dans leurs produits et qui résistent aux attaques MitM".

Voici la réponse officielle d'Asus, récupérée auprès de TechSpot :

"ASUS Cloud a appris l'existence d'un incident à la fin d'avril 2019, lorsqu'un de nos clients nous a contactés pour des raisons de sécurité. Dès qu'il a eu connaissance de l'incident, ASUS Cloud a immédiatement pris des mesures pour atténuer l'attaque en arrêtant le serveur de mise à jour ASUS WebStorage [...] En réponse à cette attaque, ASUS Cloud a revu l'architecture de l'hôte du serveur de mise à jour et a mis en place des mesures de sécurité visant à renforcer la protection des données. Cela permettra d'éviter des attaques similaires à l'avenir. Néanmoins, ASUS Cloud recommande vivement aux utilisateurs des services ASUS WebStorage d'exécuter immédiatement une analyse antivirus complète pour assurer l'intégrité de vos données personnelles.".

Les "mesures de sécurité" n'ont cependant pas été précisées par Asus. Et tant que des experts en sécurité indépendants ne disent pas si le logiciel peut être utilisé en toute sécurité ou non, il vaudra mieux l'éviter. Pour les utilisateurs d'Asus WebStorage, n'hésitez pas à procéder à une analyse anti-virus complète dès maintenant.
Aymeric Geoffre-Rouland
Par Aymeric Geoffre-Rouland

Rédacteur web et testeur, rentré récemment d'une expatriation au Japon. Spécialisé en actualités du numérique : PC, Mac, hardware, jeux vidéo, ainsi qu'en sciences.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (4)
sources

Logiciel bien inutile. Comme s’il n’y avait pas déjà assez de solutions de cloud. Les constructeurs de pc installent n’importe quoi sur leurs machines. Autant faire le ménage dès le premier démarrage.

philumax

c’est pas neuf, cette “new”

Matrix-7000

Ce n’est pas la première foi que cela arrive chez Asus. C’est un problème récurent qu’ils semblent avoir beaucoup de mal à comblé. Je me souviens du temps ou je montais moi-même mes machines, que ceci avais déjà eu lieu.

PaixSurLaLune

Pirate informatique (FR) - hacker (EN)
Porte dérobée (FR) - back door, backdoor (EN)
Plaider, supplier, implorer, alléguer (FR) - Plead (EN)
Attaque de l’Homme du Milieu (HDM) ou Attaque de l’Intercepteur (ADI) (FR) - Man-In-The-Middle attack (MITM) (EN)
« Asus WebStorage » - « AsSt WebStorage » ?
Hameçonnage (FR) - phishing (EN)
Protocole de Transfert HyperTexte (PTHT) (FR)- HyperText Transfer Protocol (HTTP) (EN)
Le Nuage Asus (FR) - ASUS Cloud (EN)

« Asus WebStorage »
« Pled »

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles