Jak większość producentów komputerów, również i ASUS ma swoją aplikację do aktualizacji i zarządzania sterownikami, która jest automatycznie instalowana podczas pierwszego uruchomienia na komputerach korzystających z niektórych płyt głównych ASUS. Jeden z badaczy, specjalistów zajmujących się cyberbezpieczeństwem – MrBruh odkrył, że oprogramowanie to ma podatności, polegającą na słabej weryfikacji poleceń wysyłanych do usługi DriverHub. Badaczowi udało mu się stworzyć łańcuch exploita umożliwiający zdalne wykonanie kodu (RCE) z uprawnieniami administratora. Atak ten można przeprowadzić poprzez odwiedzenie złośliwej strony internetowej co pozwalało atakującym na wykonywanie poleceń na urządzeniach z zainstalowanym oprogramowaniem.
Po dokładną analizę problemu odsyłam na stronę MrBruh – https://mrbruh.com/asusdriverhub
Narzędzie DriverHub komunikuje się z serwerami ASUS za pomocą lokalnego serwisu HTTP działającego na porcie 53000. Weryfikacja pochodzenia żądań HTTP jest realizowana poprzez nagłówek „Origin”. Jednak implementacja tej weryfikacji jest niewłaściwa – zamiast dokładnego dopasowania, akceptowane są wszelkie ciągi zawierające „driverhub.asus.com”, co pozwala na obejście zabezpieczeń.
Dodatkowo, funkcja „UpdateApp” w DriverHub umożliwia pobieranie oraz uruchamianie plików EXE z określonych adresów URL. Jeśli plik jest podpisany przez ASUS, jest automatycznie uruchamiany z uprawnieniami administratora. MrBruh wykorzystał tę funkcję, tworząc złośliwą stronę, która wysyłała odpowiednio spreparowane żądania do lokalnego serwisu, co pozwalało na zdalne uruchomienie kodu na zainfekowanym systemie.
Jak w praktyce wygląda taki atak zobaczycie na poniższym filmie.
Potencjalne zagrożenia:
- Zdalne wykonanie kodu (RCE): Atakujący może zdalnie uruchomić dowolny kod na systemie ofiary.
- Uprawnienia administratora: Kod jest wykonywany z uprawnieniami administratora, co daje pełną kontrolę nad systemem.
- Brak interakcji użytkownika: Atak może być przeprowadzony bez wiedzy i zgody użytkownika, wystarczy odwiedzić złośliwą stronę.
ASUS niezwłocznie zareagował na odkrytą lukę, publikując aktualizację zabezpieczeń, która naprawia opisane problemy. Jeśli jesteś użytkownikiem komputera ASUS i masz zainstalowane narzędzie DriverHub – jak najszybciej zaktualizuj oprogramowanie.
Opublikowane luki mają numery: CVE-2025-3462 i CVE-2025-3463
