パスワードを忘れた? アカウント作成
13914889 story
セキュリティ

ASUSのPCにプリインストールされているアプリの脆弱性を狙ったマルウェア攻撃が発見される 15

ストーリー by hylom
ご注意を 部門より
あるAnonymous Coward曰く、

PCにプリインストールされているソフトウェアの脆弱性問題は以前にも指摘されているが、また新たな問題が発覚した。ESETのセキュリティ研究者らによると、ASUS製PCにインストールされている「ASUS WebStorage」の脆弱性が狙われており、PCに不正なソフトウェアをインストールする攻撃が確認されたという(PC WatchESET)。

ASUS WebStorageはASUSが提供しているオンラインストレージサービスのクライアントソフトウェア。このソフトウェアは自動アップデート機能を備えているが、その際にHTTPでバイナリをダウンロードするうえ、ダウンロードしたバイナリを検証せずに実行してしまうという。問題の攻撃はこれを悪用するもので、アップデートのダウンロード時にネットワークトラフィックの改変などを行った悪意のあるアップデータを送り込むというもの。具体的には、まず脆弱性のあるルーターに侵入し、そこでトラフィックを改変するような処理を行うようにしていたという。

  • by ikotom (20155) on 2019年05月23日 11時23分 (#3619713)

    これタイトルだと分かりづらいですが、ASUS製のPCを使ってる人だけじゃなくて
    ASUSのウェブストレージを使っている人は全員対象ってことですね。

    AsusWSPanel.exe ってのが問題らしいので気になる方は検索してみてください。

    ちなみに私自身は自作PCですがマザボはASUSです。
    当該ストレージは使用していませんが、ASUS製ユーティリティ系ソフトは入れてます。
    上記exeは見当たりませんでした。

    ここに返信
    • by Anonymous Coward
      何処のWebストレージ使おうと管理権限持つ側に情報抜かれるのはOS自体の仕様だから、
      言わないだけで相手先にWeb上に書き込んだ時点で変わりは無いとしか言いよう無いですね。
      それは無論マイクロソフトのクラウドでも同じですから、抜かれても利用されても良い許諾の上で書き込む事に成りますな。
  • by Anonymous Coward on 2019年05月22日 17時52分 (#3619273)

    この場合ルータのDNSハイジャックの脆弱性の方が問題のような気もしますが、公衆無線LANでの使用を考えるとアプリの平文アップデートもいい加減やめてほしいですね。自宅回線であってもISPの向こう側で経路ハイジャックされないとも限りませんし。

    海外メーカーPCのプリインストールソフトウェアの脆弱性問題は以前にも指摘されている [security.srad.jp]ことで改善が進んだのですが、国内メーカーの方は誰も指摘していないので割と放置気味な印象です。最近ではSONYの「Music Center for PC」も同様の脆弱性(CVE-2018-0690 [jvn.jp])が報告されていました。5ちゃんねる専用ブラウザ 「Jane Style」やTwitterクライアント「Janetter」の自動アップデート機能もTLS対応されないまま開発放棄されて1年以上経ちますが、結構な数の利用者が残っているのではないでしょうか。

    ここに返信
    • by Anonymous Coward

      アップデーターは、動く実装は簡単でも、セキュアな実装はとにかく面倒だから玉石混交という。

      普通のSSL/TLSの経路暗号化では、ドメイン失効や乗っ取りに伴うハイジャックに対応出来ないので経路だけ対策してもダメです。
      # TLS/SSL証明書をチェックするのもアリでしょうが、デプロイを考えたら難ありでしょう。
      配信にVPN使って専用サーバーからダウンロードしてもVPN強制切断でハイジャックされた [security.srad.jp]とかも有るし。

      オレオレでも良いからとにかくファイ

      • by Anonymous Coward

        うっかり期限切れしたり(うんこボタン [it.srad.jp])、うっかり鍵を紛失して(Google Playストアも同じだけど)アップデートができなくなるとか、そういうのも怖いね。
        期限切れって自分のミスでも稀に起き得るけどかなり久しぶりに起動/アップデートしようとした場合、時計に問題がある場合とか(デフォルトのNTPが停止するとか?/大抵時計を誤魔化して対処できたりするが)、数年間とか更新が停止するような個人製作のソフトウェアとかだと普通に問題になりかねないから地味に注意ポイント。
        まぁそんなシナリオでは手動更新させて

        • by Anonymous Coward on 2019年05月23日 12時32分 (#3619753)

          モダンOSであればroot証明書を適宜自動更新する仕組みが整っているので、期限切れやrevokeしても新しい証明書を発行することで難なくカバーできるはずです。そうした仕組みを利用していなかったり、オレオレ証明書を使うと、手動更新する羽目になります。

          ルータのFW改造との折り合いについては「自動更新では署名検証をする」「手動更新では署名検証をしない」(または手動更新を許さない)という形が落とし所ではないでしょうか。Androidスマートフォンがまさにそうですね。

          • by Anonymous Coward

            その自動更新される証明書の安全性はどうやって保証されるの? モダンOSとやらは魔法じゃないよ。

          • by Anonymous Coward

            SSL通信などと異なるのは、証明書チェーンは正しくても、第三者の正規証明書を受け入れたら意味がない点。
            結局、アップデータが信用できる証明書なのかチェックしないと。

            「ドメイン乗っ取られました、チェーン的には正しい証明書なので信頼して入れちゃいました。」では困るのです。

            • by Anonymous Coward

              そのチェックってどこまでやればいい?

              サーバ証明書でもコード署名証明書でもチェーンとCNをチェックすることで第三者の正規証明書を弾いてると思うけど、もしかして悪意のある第三者が同一CNのコード署名証明書を正規に取得する可能性を言ってる? DVサーバ証明書ならともかくコード署名証明書でそんなことあるのかなぁ。

              そこまで考慮すると予めクライアント側に信用できる証明書をぶち込んでおくか、公開鍵ピンニングみたいなことでもしないといけなくなるけど、そうすると3年ごとに訪れる証明書切り替えの度に大量のユーザーの切り捨てが発生する予感。2段階識更新にすればいける?

              • by Anonymous Coward

                コード署名証明書もDVとOVの中間的なのとEV二種類で、カーネルドライバでなければ非EVで通ります。
                CNに入るのは、SSL/TLSの基本ユニークなFQDNと違って、個人名や組織名 [globalsign.com]です。
                他の項目や確認内容は本リンク先の下部に記載 [globalsign.com]

                コードサイニングのサブジェクト内容が発行年か業者によるのか仕様が安定しない印象が。
                結局クライアント側にオレオレ証明書仕込んで追加検証で本物か確認するのが一番楽。

    • by Anonymous Coward

      Jane Styleは更新チェックのみで実際のアップデートはサイトからダウンロードする必要があるから…と思ったら公式サイトがTLS未対応だった

  • by Anonymous Coward on 2019年05月22日 21時30分 (#3619440)

    プリインストールソフトの数とセキュリティのリスクは比例するのだから、防ごうと思ったらプリインストールソフト無しで売るしかない

    ASUSはプリインストールソフトが無駄に多い印象(スマホがそうだった)なんで自滅したように思えなくもない。

    ここに返信
    • by Anonymous Coward
      今月新品に変えたけどその手の話は前からあったし、OS自体もインストールCDをやたら排除する見たいだから入れずに放置してるけど、特に機能的問題は無いけどな。
      と言うかクリーンインストールからして、外付けグラボが無ければほぼ只待つだけの無手状態で使える状態まで進んでフルオートで終わったからね。
      殆どのソフトは取り置きの別のドライブから再リンク取るだけで済んだし。
  • マルウェアを仕込まれたら企業は被害者ぶる。
    中国とかやってそうだね。

    ここに返信
  • 「HTTPでバイナリをダウンロードするうえ、ダウンロードしたバイナリを検証せずに実行してしまう」

    ここに返信
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...