华硕今天发布了新版本的LiveUpdateTool,其中包含bug补丁。这些bug被一个组织利用,暗影锤后门被部署在多达一百万台Windows电脑上。
AsusLiveUpdate3.6.8包含上述补丁,这些补丁是硬件供应商在今天的新闻稿中宣布的。
据该公司介绍,华硕LiveUpdatev3.6.8“引入了多种安全认证机制,通过软件更新或其他方式防止任何恶意操作,并实施了增强的端到端加密机制。”
华硕还表示,它更新并加强了“服务器到终端用户的软件架构,以防止类似的攻击在未来发生。”
该公司的声明昨日在科技新闻网站“主板”上披露。一群黑客破坏了ASUSLiveUpdate的基础设施,提供了ASUSLiveUpdate工具的后门版本。
KasperskyLab和Symantec的初步评估估计,受感染的用户数量在50万到100万之间。
不过,在今天的发布会上,华硕淡淡地表示,只有“少数设备植入了恶意代码”。
据该公司称,仅备份笔记本电脑使用的实时更新工具,而不是其应用程序的所有实例-它被用作全球数百万台设备上的固件更新实用程序。
虽然直接访问自己的服务器日志,了解黑客攻击的情况,大概花了两个月的时间,但华硕无法提供可靠的受影响用户数量。
卡巴斯基所谓的影子锤子操作已经感染了数十万用户,但隐藏在LiveUpdate工具中的影子锤子恶意软件不会感染用户的额外有效负载,除非他们的设备有特定的MAC地址。
卡巴斯基表示,他们收集的备份的实时更新版本的特点是有600多个唯一的MAC地址,Shadowammer恶意软件将在这些地址发起进一步的攻击。
显然#Shadowammer的其中一个Mac被上千台主机使用:是VMwareVMNet8适配器,默认Mac是00:5033605333:08。如果你一个人-放松。你可能只是一个偶然的目标。请检查是否在2018年运行软件更新程序。
另一个案例是0c :5 b 33608 f :273609 a :64。这款产品是华为E3772USB4G加密狗使用的,对于这类设备的所有拥有者来说似乎都是一样的。似乎#影锤的目标在某些情况下不准确,可能会导致意外感染。
在某些情况下,#Shadowammer后门会检查网卡和WiFi适配器MAC,以确定进一步发展的受害者。只有当两个地址匹配时,才会部署第二层。这真的很有针对性。
现在华硕以这种非常先进的目标选择机制为借口,淡化事件的严重性,完全无视黑客组织可以在这个过程中直接访问其软件更新服务器的事实。
该公司发布了LiveUpdate3.6.8,但不清楚更新到此版本是否会删除旧版本备份的LiveUpdate版本的所有痕迹。
许多其他问题仍然没有答案。例如,一个普通的华硕客户如何知道自己是否自动收到LiveUpdate版本的备份版本?可能大部分用户都不在影锤组,但所有收到LiveUpdate应用反向版本的华硕用户都需要擦除并重新安装系统才能完全安全,还是更新到v3.6.8就足够了?
华硕表示,其客服一直在联系受影响用户并提供协助,但公司并未提供任何有用信息,否则。
事实上,该公司的新闻稿没有显示出对卡巴斯基及其客户群的尊重。
华硕没有感谢俄罗斯反病毒提供商发现了这个安全漏洞,而是链接到卡巴斯基竞争对手网站上的一个网页,其中包含了黑客组织的一般信息。点击此链接的华硕客户不会收到任何关于影锤攻击的有用信息,会更加疑惑这和影锤攻击有什么关系,这个页面上甚至都没有提到。
卡巴斯基表示,攻击背后的人——,据信是黑客3354,在2018年11月停止了华硕服务器上的所有活动,当时他们转向了其他行动。
关注一下匆匆看过影锤故事的人:据我们了解,目前华硕的更新非常不错。袭击者似乎在2018年11月停止了活动,转向其他目标。哪一个?#SAS 2019要到两周后才能知道。这家俄罗斯公司在1月份发现了华硕LiveUpdate的妥协方案,并联系了华硕。该公司在过去两个月未能解决黑客事件,直到昨天的事件被媒体曝光。
此外,据报道,昨日,记者的推文爆出消息称,华硕还试图让卡巴斯基签署秘书协议,试图平息事件。
华硕没有配合卡巴斯基解决这一事件,也没有向用户提供所有需要的信息。相反,它试图掩盖这一事件,但事与愿违。
这些做法,以及华硕对任何安全相关问题的无知,是20年前联邦贸易委员会(FederalTradeCommission)在2016年对该公司进行强制性安全审计的原因。这个决定是关于公司的家庭路由器部门,但似乎华硕的个人电脑部门也在同一个不良安全做法的大熔炉里。
现在,华硕客户可以在华硕发布更多详细信息之前更新到LiveUpdate3.6.8。
他们还可以使用华硕和卡巴斯基提供的应用程序来检查他们设备的MAC地址是否在600台MAC的列表中,这是一个有针对性的Shadowammer操作。该应用程序的在线版本也可以在卡巴斯基网站上获得。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!