Вразливість у ПЗ ASUS поставила під загрозу безпеку мільйонів ПК

Спеціаліст з кібербезпеки з Нової Зеландії, відомий під псевдонімом MrBruh, виявив серйозну вразливість у фірмовій утиліті управління драйверами ASUS DriverHub. Вразливість надавала зловмисникам можливість віддалено запускати на комп’ютерах команди з підвищеними привілеями.

DriverHub автоматично встановлюється разом з деякими материнськими платами ASUS під час першого завантаження системи і працює у фоновому режимі, перевіряючи порт 53000 на наявність запитів для оновлення драйверів. Сервіс відкидає всі HTTP-запити, Origin-заголовки яких не вказують на офіційну адресу driverhub.asus.com. Проте валідація влаштована так, що будь-який сайт з частиною «driverhub.asus.com» у доменному імені проходить перевірку — навіть якщо це шахрайський ресурс.

Друга проблема полягала в модулі UpdateApp, який дозволяє утиліті завантажувати та автоматично запускати .exe-файли з URL-адрес, що містять «.asus.com». При цьому DriverHub не запитує у користувача підтвердження і не видаляє неперевірені підписом файли, залишаючи на диску потенційно небезпечні компоненти.

Щоб скористатися вразливістю, зловмисник переконує користувача відкрити шкідливий сайт. Цей сайт надсилає локальному сервісу DriverHub серію HTTP-запитів на «http://127.0.0.1:53000», підміняючи Origin-заголовок на щось на кшталт driverhub.asus.com.attacker.com. Після обхід перевірки сервіс завантажує установник AsusSetup.exe з порталу виробника, а разом з ним шкідливий .ini-файл і шкідливий .exe-модуль. Установник запускається автоматично від імені адміністратора і, згідно з вказівками з .ini, запускає недоброзичливий код.

В офіційному бюлетені ASUS підкреслює, що власникам материнських плат слід терміново оновити DriverHub через кнопку «Update Now» у самій програмі. Незважаючи на це, в описах CVE-2025-3462 і CVE-2025-3463 вендор зазначає, що проблема стосується лише материнських плат, не згадуючи про настільні комп’ютери та ноутбуки — що досить спірно, враховуючи поширеність утиліти.

Поки що немає відомостей про активне використання цієї вразливості в реальних атаках. Тим, хто хоче повністю убезпечити себе від непомітного фонового оновлення, варто відключити DriverHub у налаштуваннях BIOS.