ASUS DriverHub 驱动程序管理实用程序存在严重的远程代码执行漏洞,允许恶意网站在安装了该软件的设备上执行命令。
该漏洞是由新西兰独立网络安全研究员保罗(又名“ MrBruh ”)发现的,他发现该软件对发送到 DriverHub 后台服务的命令的验证很差。
这使得研究人员能够利用CVE-2025-3462和CVE-2025-3463漏洞创建一个漏洞利用链 ,当这两个漏洞结合起来时,可以实现绕过源站并在目标上触发远程代码执行。
DriverHub 问题
DriverHub 是华硕的官方驱动程序管理工具,在使用某些华硕主板时,它会在第一次系统启动时自动安装。
该软件在后台运行,自动检测并获取检测到的主板型号及其芯片组的最新驱动程序版本。
安装后,该工具将保持活动状态并通过端口 53000 上的本地服务在后台运行,不断检查重要的驱动程序更新。
同时,大多数用户甚至不知道这样的服务一直在他们的系统上运行。
该服务检查传入 HTTP 请求的 Origin Header,以拒绝任何不是来自“driverhub.asus.com”的请求。
然而,这种检查执行得很差,因为任何包含该字符串的网站都会被接受,即使它与华硕的官方门户网站不完全匹配。
第二个问题在于 UpdateApp 端点,它允许 DriverHub 从“.asus.com”URL 下载并运行 .exe 文件,而无需用户确认。
来源:MrBruh
隐秘攻击流程
攻击者可以攻击任何运行 ASUS DriverHub 的用户,诱骗他们在浏览器中访问恶意网站。该网站随后会向本地服务“http://127.0.0.1:53000”发送“UpdateApp 请求”。
通过将 Origin Header 欺骗为“driverhub.asus.com.mrbruh.com”之类的内容,可以绕过弱验证检查,因此 DriverHub 可以接受命令。
在研究人员的演示中,这些命令命令软件从供应商的下载门户下载合法的华硕签名的“AsusSetup.exe”安装程序,以及恶意的.ini 文件和.exe 有效负载。
华硕签名的安装程序会以管理员身份静默运行,并使用.ini文件中的配置信息。该.ini文件会指示合法的华硕驱动程序安装程序启动恶意可执行文件。
该工具未能删除未通过签名检查的文件(如.ini 和有效负载,这些文件在下载后保留在主机上),也使得攻击成为可能。
华硕的回应和用户行动
华硕于2025年4月8日收到了研究人员的报告,并在前一天与MrBruh进行了验证后,于4月18日实施了修复。这家硬件巨头并未向该研究人员提供任何奖励。
台湾供应商提交的 CVE 描述在某种程度上淡化了这个问题,其声明如下:
CVE 描述中写道:“该问题仅限于主板,不会影响笔记本电脑、台式电脑或其他终端。”
这令人困惑,因为提到的 CVE 会影响安装了 DriverHub 的笔记本电脑和台式电脑。
不过,华硕在其安全公告中更加明确地建议用户尽快应用最新更新。
公告中写道:“此更新包括重要的安全更新,华硕强烈建议用户将其 ASUS DriverHub 安装更新至最新版本。”
打开 ASUS DriverHub,然后单击“立即更新”按钮即可访问最新的软件更新。
MrBruh 表示,他监控了证书透明度更新,没有发现其他包含“driverhub.asus.com”字符串的 TLS 证书,这表明该证书并未在野外被利用。
如果您不满意后台服务在您访问网站时自动获取潜在危险的文件,您可以从 BIOS 设置中禁用 DriverHub。
发表评论
您还未登录,请先登录。
登录