〔ITHOME報導〕 華碩電腦的軟體更新主機遭入侵,駭客藉由Live Update偷偷散布後門,恐影響上百萬用戶

 

2019-03-26

 

今年1月,卡巴斯基即發現華碩的更新伺服器遭攻破,使駭客偷偷藉由更新機制散布後門,而這起事件在昨晚曝光,至今日中午,華碩尚無回應,而這起事件也突顯供應鏈的資安問題。

 

卡巴斯基指出,被駭客偷偷木馬化的ASUS Live Update,使用的是合法的數位簽章,因此難以被察覺。

 

臺灣筆電大廠華碩的更新主機遭駭一事,昨晚經國外媒體Motherboard報導曝光,主要由資安業者卡巴斯基所發現,該公司也在同日揭露相關資訊,並將此複雜的供應鏈攻擊命名為「ShadowHammer」。在這起事件中,駭客透過偷偷入侵華碩軟體更新伺服器的方式,讓華碩幫助用戶電腦更新系統軟體時,卻也無意中安裝了包含惡意後門的更新程式。對於這起事件,至今天中午之前,華碩還沒有正式對用戶發出相關訊息與說明。但已經表示將會對此事發出官方聲明。

 

根據卡巴斯基的說明,這起針對華碩產品的攻擊行為之所以被發現,是因為他們在今年1月使用了新的供應鏈檢測技術,進而察覺這起涉及Asus Live Update工具的攻擊活動。同時,他們也公布了自身的統計數據,有超過5萬7千名卡巴斯基用戶,在某個時間點下載並安裝了後門版本的華碩Live Update。

 

此外,Motherboard還指出另一家資安業者賽門鐵克,也有同樣的發現,而今日美國賽門鐵克也在官方部落格網站上,揭露相關供應鏈攻擊的訊息,指出至少有1萬3千臺用戶電腦收到了木馬程式的更新,並也提到針對這攻擊的建議。

 

從影響範圍來看,由於華碩Live Update是大多數華碩PC與筆電上所預載的應用程式,將可更新BIOS、UEFI、驅動程式與應用程式等,加上華碩是全球第五大電腦製造商,用戶族群不小。根據卡巴斯基研究人員的說法,雖然無法依據他們的數據來計算受影響的用戶數,但估計全球超過一百萬用戶受影響。

 

此外,就卡巴斯基的觀察,散布惡意更新的時間應是發生在2018年6月到11月間。關於長期未被發現的原因,他們表示,由於更新程式使用的是合法的數位簽章ASUSTeK Computer Inc.,以及惡意更新程式是存放在華碩更新服務器liveupdate01s.asus.com與liveupdate01.asus.com之上,隱藏於軟體更新行為之中。

 

至於華碩方面的反應如何?根據卡巴斯基研究人員的說法,他們在1月27日確認此一攻擊活動,並在1月31日已經聯繫過華碩。對此,我們也向臺灣華碩方面求證,並請他們說明處理狀況與進度,以及用戶相關因應方式,根據他們早上的說明,目前已經在處理討論中,只是在中午之前,我們還沒有得到相關回覆,官方網站上目前似乎也還沒有揭露相關訊息。

 

由於華碩電腦用戶族群廣大,企業與個人消費者都有,後續應變將成為關注焦點,畢竟用戶們也擔心是否受影響,以及自身該如何因應?

 

關於用戶該如何檢查自己的電腦,是否為駭客攻擊的主要對象?由於卡巴斯基也透過逆向破解,發現這次駭客行動中,有一段程式碼專門鎖定特定600個Mac Address植入,目前卡巴斯基已經給出一些方式。他們提供出一個針對ShadowHammer的識別工具(檔案連結),可以幫助使用者確認你的電腦,是否是此攻擊的目標。在運作方式上,這款工具將所有適配器的MAC地址,與惡意軟件中硬編碼的預定義值列表進行比較,並在發現比對符合時發出警報。此外,也還增設了可檢視此事件影響MAC位址的查詢專屬網站(網站連結)。

 
 
 

 
 
 

當企業軟體更新服務被駭客盯上

 
 
 

上半年臺灣最大的資安事件,就是華碩筆電的軟體更新伺服器遭到入侵,駭客使用運用合法管道傳遞後門程式到大量電腦,這也引起全球關注,事實上這種軟體供應鏈攻擊已被列為當今資安的一大威脅,其中的更新主機、程式碼簽章憑證的安全問題,更是成為不可忽視的焦點
~ ITHOME

 
 
 
 
 
 

 

 

〔ITHOME報導〕 【提升軟體更新服務的安全層級,不讓駭客有機可趁】從開發到更新的流程,都要落實安全

 

2019-05-08

 

當更新下載伺服器的安全成為焦點,不論更新檔案、相關主機、金鑰的安全防護,甚至整體的流程管理,都必須要能落實安全檢查,否則都將成為駭客可利用的環節

 

【面對軟體供應鏈的威脅,需防範5大攻擊類型】企業在看待更新主機的安全防護時,同時,也有幾個面向需要關注。根據美國國家反情報與安全中心(NCSC)的分析,他們從11個案例歸納了5大供應鏈攻擊面(圖中紅色區塊),下手的目標不只是更新的主機,還包括:軟體工具、內賊、程式碼與下載主機。這也意謂著,它們都是企業須要防範的重點。

 

這次華碩更新伺服器遭濫用所引起的安全問題,讓軟體供應鏈攻擊的威脅再受重視,然而,本身提供軟體更新服務的企業,該如何面對這樣的風險?才能讓企業與用戶都能夠繼續信賴,成為各界關注焦點。

 

在這次事件後,已經提醒了其他所有提供更新服務的業者,不能忽視這方面的安全。那麼,是否能有簡單的原則要能夠遵循?簡單而言,不論是在軟體更新檔案上線的流程,或是軟體更新檔案上傳伺服器後,都必須確認檔案的一致性,並要能做到即時的監控。

 

對此,賽門鐵克首席顧問張士龍更指出3個重點面向:第一點是這次供應鏈攻擊所設涉及的部分,包括更新程式的安全管理,負責發布更新的主機安全防護,以及憑證的管理等;第二點是檔案派送方面一致性的檢測;第三個則是部署流程方面的各環節,也要有相對應的檢查與流程控管。而其中所有流程的安全控管,更是他所強調的部份。

 

另外,近年在許多安全議題都提及的白名單機制,也能套用在這些開發相關的伺服器,以及更新伺服器上,協助做到較嚴格的管控。

 

當然,這些安全管控不算新的概念,大型企業也應該都有實施資訊安全管理制度,因此是否能夠落實將是關鍵,或是企業根本沒有顧及這些方面,那麼現在就應該要有所重視。而從這次華碩的更新檔案被加料,以及數位簽章憑證遭濫用來看,對於其他提供更新下載服務的企業而言,同樣也該有所警惕。

 

正視軟體供應鏈攻擊的威脅,總共有5大攻擊面向必須要注意

 

深入探究下去,對於這次華碩更新主機遭駭的事件,其實許多資安專家也都提到了幾個需要注意面向,包括是在軟體開發的過程,以及發布與部署的環節,甚至後續的維運管理。畢竟,關於更新檔案被駭客植入惡意程式碼,是有可能發生在某一環節。

 

其中,關於安全軟體發展生命週期(SSDLC)的重要性,近年各界已經不斷在呼籲,目的就是要避免駭客借道軟體漏洞著手破壞或加料,然而最後的部署維運階段,以及發布到自動更新服務這一部分,過往並未特別受到重視,如今卻可能成為被忽略的一個環節。更進一步來看,企業若要全面掌握可能發生問題的環節、盤點防護面向,設法認識攻擊者下手方向,就是最好的方式。

 

根據美國國家反情報與安全中心(NCSC)的研究,他們在2017年10月公布了相關資料,多起軟體供應鏈攻擊案例之中,我們可將駭客下手的環節歸納為5個方面,包括軟體工具(開發工具、軟體開發套件)、內賊(開發者)、程式碼、Updates/Patch更新主機與下載主機。

 

而在MITRE提出的ATT&CK知識庫中,也針對軟體供應鏈入侵手法而提出說明,這裡面提到,駭客能在供應鏈的任何階段入侵,不只是操縱開發工具、開發環境、原始碼程式庫,以及入侵更新、部署機制,也會藉由感染映像檔,修改版本替換,以及從分銷管道下手。

 

更要注意的是,這些手法已不是概念是想像,而是真實的活動,有多家資安業者都在2019年的預測中,認為軟體供應鏈攻擊是相當顯著的威脅態勢,而在賽門鐵克最新的網路安全威脅報告(ISTR),更是指出2018 年的攻擊較往年增加了78%。而攻擊者之所以會選擇劫持軟體更新,就是一次能感染龐大的目標,是相當有效率的攻擊手法。

 

無論如何,類似這樣的事件一定會繼續發生,已經成為軟體開發商與企業、一般消費者必須正視的問題,也是不得不面對的重大挑戰,因為既有信任的管道早已被打破,這也將是所有企業與資安界同樣要面對的難題。