Утилита управления драйверами Asus DriverHub содержала критическую уязвимость удалённого выполнения кода, которая позволяла вредоносным сайтам выполнять команды на устройствах с установленным программным обеспечением.
Уязвимость обнаружил независимый исследователь кибербезопасности из Новой Зеландии по имени Пол («MrBruh»). Он выяснил, что программное обеспечение плохо проверяло команды, отправляемые в фоновую службу DriverHub.
Это позволило исследователю создать цепочку эксплойтов, использующую уязвимости, отслеживаемые как CVE-2025-3462 и CVE-2025-3463, которые при объединении достигают обхода источника и запускают удалённое выполнение кода.
DriverHub — это официальный инструмент управления драйверами Asus, который автоматически устанавливается при первой загрузке системы при использовании определённых материнских плат компании. Это программное обеспечение работает в фоновом режиме, автоматически обнаруживая и извлекая последние версии драйверов. После установки инструмент остается активным и работает в фоновом режиме через локальную службу на порту 53000, постоянно проверяя наличие важных обновлений драйверов. Эта служба проверяет заголовок Origin входящих HTTP-запросов, чтобы отклонять все, не поступающие с ‘driverhub.asus.com’.
Однако исследователь выяснил, что механизм проверки реализован плохо, так как любой сайт, содержащий эту строку, одобряется.
Вторая проблема заключается в конечной точке UpdateApp, которая позволяет DriverHub загружать и запускать файлы .exe с URL-адресов .asus.com без подтверждения пользователя.
В итоге злоумышленник может обманом заставить пользователя посетить вредоносный веб-сайт в своём браузере. Затем этот веб-сайт отправляет «запросы UpdateApp» локальной службе по адресу ‘http://127.0.0.1:53000’.
Путём подмены заголовка Origin на «driverhub.asus.com.mrbruh.com» он обходит проверку, поэтому DriverHub принимает команды.
В демонстрации исследователя программное обеспечение загружает легитимный установщик «AsusSetup.exe» с портала загрузки поставщика вместе с вредоносным файлом .ini и полезной нагрузкой .exe. Установщик, подписанный Asus, запускается в фоновом режиме от имени администратора и использует информацию о конфигурации в файле .ini. Этот файл ini указывает легитимному установщику запустить вредоносный исполняемый файл.
Атака также стала возможной из-за того, что инструмент не смог удалить файлы, не прошедшие проверку подписи, такие как .ini и полезная нагрузка, которые сохраняются на хосте.
Asus получила отчёт исследователя 8 апреля 2025 года и внедрила исправление 18 апреля, предварительно проверив его. IT-гигант не предложил никакого вознаграждения за раскрытие информации.
Кроме того, компания попыталась преуменьшить влияние уязвимости: «Эта проблема ограничена материнскими платами и не затрагивает ноутбуки, настольные компьютеры или другие конечные точки». Между тем уязвимость затрагивает именно ноутбуки и настольные компьютеры с установленным DriverHub.
В бюллетене по безопасности Asus, однако, рекомендует пользователям оперативно применить последнее обновление. «Это обновление включает важные обновления безопасности, и Asus настоятельно рекомендует пользователям обновить установку DriverHub до последней версии», — говорится там.
Апдейт можно получить, открыв DriverHub и нажав кнопку «Обновить сейчас».
Исследователь, который отслеживал обновления прозрачности сертификатов, не нашёл других сертификатов TLS, содержащих строку «driverhub.asus.com». Это указывает на то, что она не была взломана.
ссылка на оригинал статьи https://habr.com/ru/articles/908862/
Добавить комментарий