Утилита управления драйверами Asus DriverHub содержала критическую уязвимость удалённого выполнения кода, которая позволяла вредоносным сайтам выполнять команды на устройствах с установленным программным обеспечением.
Уязвимость обнаружил независимый исследователь кибербезопасности из Новой Зеландии по имени Пол («MrBruh»). Он выяснил, что программное обеспечение плохо проверяло команды, отправляемые в фоновую службу DriverHub.
Это позволило исследователю создать цепочку эксплойтов, использующую уязвимости, отслеживаемые как CVE-2025-3462 и CVE-2025-3463, которые при объединении достигают обхода источника и запускают удалённое выполнение кода.
DriverHub — это официальный инструмент управления драйверами Asus, который автоматически устанавливается при первой загрузке системы при использовании определённых материнских плат компании. Это программное обеспечение работает в фоновом режиме, автоматически обнаруживая и извлекая последние версии драйверов. После установки инструмент остается активным и работает в фоновом режиме через локальную службу на порту 53000, постоянно проверяя наличие важных обновлений драйверов. Эта служба проверяет заголовок Origin входящих HTTP-запросов, чтобы отклонять все, не поступающие с 'driverhub.asus.com'.
Однако исследователь выяснил, что механизм проверки реализован плохо, так как любой сайт, содержащий эту строку, одобряется.
Вторая проблема заключается в конечной точке UpdateApp, которая позволяет DriverHub загружать и запускать файлы .exe с URL-адресов .asus.com без подтверждения пользователя.
В итоге злоумышленник может обманом заставить пользователя посетить вредоносный веб-сайт в своём браузере. Затем этот веб-сайт отправляет «запросы UpdateApp» локальной службе по адресу 'http://127.0.0.1:53000'.
Путём подмены заголовка Origin на «driverhub.asus.com.mrbruh.com» он обходит проверку, поэтому DriverHub принимает команды.
В демонстрации исследователя программное обеспечение загружает легитимный установщик «AsusSetup.exe» с портала загрузки поставщика вместе с вредоносным файлом .ini и полезной нагрузкой .exe. Установщик, подписанный Asus, запускается в фоновом режиме от имени администратора и использует информацию о конфигурации в файле .ini. Этот файл ini указывает легитимному установщику запустить вредоносный исполняемый файл.
Атака также стала возможной из-за того, что инструмент не смог удалить файлы, не прошедшие проверку подписи, такие как .ini и полезная нагрузка, которые сохраняются на хосте.
Asus получила отчёт исследователя 8 апреля 2025 года и внедрила исправление 18 апреля, предварительно проверив его. IT-гигант не предложил никакого вознаграждения за раскрытие информации.
Кроме того, компания попыталась преуменьшить влияние уязвимости: «Эта проблема ограничена материнскими платами и не затрагивает ноутбуки, настольные компьютеры или другие конечные точки». Между тем уязвимость затрагивает именно ноутбуки и настольные компьютеры с установленным DriverHub.
В бюллетене по безопасности Asus, однако, рекомендует пользователям оперативно применить последнее обновление. «Это обновление включает важные обновления безопасности, и Asus настоятельно рекомендует пользователям обновить установку DriverHub до последней версии», — говорится там.
Апдейт можно получить, открыв DriverHub и нажав кнопку «Обновить сейчас».
Исследователь, который отслеживал обновления прозрачности сертификатов, не нашёл других сертификатов TLS, содержащих строку «driverhub.asus.com». Это указывает на то, что она не была взломана.
