ASUS: Kritische Sicherheitslücke in Live Update erlaubt Einschleusen von Malware

Mit dem Live Update von ASUS können Treiber und das BIOS/UEFI von Notebooks und PCs einfach aktuell gehalten werden. In der Standard-Einstellung überprüft das Programm beim Start und in regelmäßigen Abständen ob aktuelle Version für das verwendete Produkt vorliegen und installiert dieses bei einem Neustart.

Das Sicherheitsproblem der Software entsteht durch die unsichere Vermittlung der Dateien über das Protokoll HTTP, welches komplett unverschlüsselt übertragen wird. Mit einem Man-In-The-Middle-Angriff kann über das Programm ein kompletter PC oder Notebook übernommen werden und sogar Schadsoftware in das UEFI/BIOS eingeschleust werden, womit selbst bei einer Neuinstallation des Betriebssystems der Virus oder die Malware nicht entfernt werden kann.

Durch die automatische Ausführung der Programme die dann als Update getarnt sind, lässt sich so allerdings auch jede andere Schadsoftware auf einem System mit dem ASUS Live Update ausführen.

Um die Sicherheitslücke zu entfernen reicht aktuell die Deinstallation von ASUS Live Update beziehungsweise der ASUS AI Suite. Die ASUS AI Software ist bei den meisten Notebooks bereits am Werk vorinstalliert. Auch viele PC-Anbieter installieren die komplette ASUS-Software, die den Mainboard  beiliegt, so das auch diese PCs von der Sicherheitslücke betroffen sind.

(Bild: Angebliches, kritisches Update für das System, welches automatisch von ASUS Live Update installiert wird)