Huawei jak NSA i casus ASUS – gdy bloatware staje się podatnością

Maciej Olanicki , 27.03.2019 r.
zepsute
Prawo do dostarczania bloatware, czyli niechcianego oprogramowania, które znajdujemy preinstalowane na nowych urządzeniach, stało się elementem wymiany handlowej pomiędzy korporacjami IT. Przyzwyczailiśmy się, że na pamięciach uruchomionych po raz pierwszy laptopów czy smartfonów znajdujemy na przykład oprogramowanie antywirusowe czy jedyny słuszny pakiet biurowy.

Casus ASUS

Dla części użytkowników te coraz częstsze praktyki są niedopuszczalne, ale prawdziwe tarapaty zaczynają się, gdy oprogramowanie preinstalowane przez producenta – własne czy partnerów – stanowi podatność. W ostatnich dniach mieliśmy do czynienia z dwoma takimi przypadkami, co skłania do zastanowienia: co i dlaczego zastajemy na własnych – przynajmniej na papierze – urządzeniach? Przyjrzymy się sprawie ASUS-a i Huaweia.

W przypadku ASUS-a sprawa jest dość jasna. Atak na łańcuch dostaw to coś, przed czym nie potrafimy bronić końcowych użytkowników, bo też skutecznego sposobu na zabezpieczenie autoryzowanego raz połączenia z producentem nie ma. Gdy serwer ten zamienia się z jednak w rezultacie ataku z serwera aktualizacji na serwer C&C, wówczas katastrofa gotowa. Tak było z laptopami ASUS-a: gdy serwer aktualizacji został przejęty, kości zostały rzucone i rozsiewaniu dowolnego szkodnika nie można było zapobiec.

Atak na łańcuch dostaw i przejęcie go to paskudny scenariusz, który jest najczarniejszym koszmarem każdego producenta, gdyż to on będzie współodpowiedzialny. Wszak nie zabezpieczył swojej sieci wystarczająco i naraził na szwank swoich klientów. To przejęciu łańcucha dostaw „zawdzięczamy” także atak ransomware NotPetya z 2017 roku. Przejęto wówczas serwery firmy dostarczającej oprogramowanie umożliwiające wymianę dokumentacji między firmami a ukraińską administracją.

Wystarczyło znaleźć słaby punkt, by za pomocą autoryzowanych wcześniej połączeń z serwerami aktualizacji rozsiać ransomware na część środkowej Europy. Zaszyfrowano także komputery polskich firm, które robiły interesy na Ukrainie lub z ukraińskimi firmami czy instytucjami. Ale atak na ASUS-a to jedno, a rzeczy, które znalazł Microsoft na zyskujących coraz większa popularność laptopach Huawei to drugie. Równie interesujące jak rezultaty są zresztą środki, dzięki którym się to udało.

Zobacz też: Norsk Hydro zostało sparaliżowane przez ransomware LockerGoga – co o nim wiadomo?

Huawei jak NSA

Sama podatność laptopów Huawei raczej nie spowoduje katastrofy – luka w oprogramowaniu PCManager została załatana już w styczniu. Użytkownicy, którzy nie nie odinstalowali go po pierwszym uruchomieniu komputera, najpewniej korzystają z automatycznych aktualizacja i łatką cieszą się już od dawna. Sama podatność umożliwiała uzyskanie najwyższych uprawnień, konsekwencje byłby zatem poważne.

Jak wspomniałem, podatność znalazł Microsoft. Dokonał tego za pomocą zaimplementowanej w Defenderze Advanced Threat Protection ochronie heurystycznej, a zatem poszukującej wzorców charakterystycznych dla złośliwego oprogramowania bądź operacji Advanced Persistent Threat bez pewności, że w ogóle doszło do naruszenia bezpieczeństwa. To na tej podstawie udało się ustalić, że podejrzanie zachowuje się właśnie oprogramowanie dostarczane przez Huawei.

Najlepsze jednak dopiero przed nami. Oczywiście by ochrona heurystyczna Microsoftu mogła być skuteczna, należało jej wcześniej dostarczyć próbek, dzięki którym może dostrzegać wzorce. Jak zauważa Peter Bright na łamach Ars Technica, jak na ironię luka w Huawei PCManager została odnaleziona, gdyż w oparciu o podobny mechanizm działał backdoor DOUBLEPULSAR. Wykorzystywany był on niegdyś przez… National Security Agency!

Zobacz też: GHIDRA – NSA za darmo udostępnia własne narzędzia do inżynierii wstecznej

Witaj w 2019!

Trzeba przyznać, że ten miszmasz w jakiś sposób oddaje ducha naszych czasów, jeśli chodzi o IT. Chiński producent nie pytając nikogo o zdanie, instaluje podatne oprogramowanie. Działa ono w sposób podobny do tylnych furtek wykorzystywanych wcześniej przez rząd Stanów Zjednoczonych. Rolę arbitra odgrywa zaś Microsoft, który właśnie udostępnił swojego Defendera na macOS-a i bardzo potrzebuje doraźnych przykładów jego skuteczności przeciw zaawansowanym zagrożeniom. O czasy, o obyczaje.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: