Недавно в программном обеспечении ASUS DriverHub были обнаружены две критические уязвимости, которые могут позволить злоумышленникам удаленно выполнять код на компьютерах пользователей. Эти бреши в безопасности, получившие идентификаторы CVE-2025-3462 и CVE-2025-3463, представляют серьезную угрозу для владельцев материнских плат ASUS.
Первая уязвимость, CVE-2025-3462, имеет оценку критичности 8.4 по шкале CVSS и связана с ошибкой проверки источника запроса. Она позволяет неавторизованным источникам взаимодействовать с программным обеспечением через специально сформированные HTTP-запросы. Вторая брешь, CVE-2025-3463, еще опаснее — с оценкой 9.4 она связана с неправильной валидацией сертификатов и также позволяет недоверенным источникам влиять на поведение системы.
Обе уязвимости были обнаружены и сообщены компании ASUS исследователем безопасности, известным под псевдонимом MrBruh. По его данным, эти недостатки могут использоваться для удаленного выполнения кода (RCE) в рамках атаки, требующей всего одного клика от пользователя.
Техническая цепочка атаки начинается с того, что злоумышленник обманом заставляет пользователя посетить поддомен driverhub.asus[.]com. Например, это может быть домен вида .<случайная_строка>.com. Далее атакующий эксплуатирует конечную точку UpdateApp в DriverHub, что позволяет запустить легитимный исполняемый файл "AsusSetup.exe" с опцией выполнения файлов с поддельного домена.
AsusSetup.exe считывает метаданные из файла AsusSetup.ini, и когда он запускается с флагом "-s" (тихая установка), выполняет любую команду, указанную в свойстве "SilentInstallRun". Это открывает путь для выполнения вредоносного кода.
Для успешной эксплуатации уязвимостей злоумышленнику необходимо создать домен и разместить на нем три файла: вредоносную нагрузку, модифицированный AsusSetup.ini со свойством "SilentInstallRun", указывающим на вредоносный бинарный файл, и сам AsusSetup.exe.
На данный момент нет свидетельств эксплуатации этих уязвимостей в реальных атаках. ASUS уже выпустила обновления для устранения обнаруженных проблем и рекомендует пользователям обновить ПО, открыв DriverHub и нажав кнопку «Обновить сейчас».
DriverHub — это инструмент, разработанный для автоматического определения моделей материнских плат и отображения необходимых обновлений драйверов для установки. Программа взаимодействует с выделенным сайтом driverhub.asus[.]com, что и стало точкой входа для потенциальных атак.
Учитывая широкое распространение материнских плат ASUS и популярность их фирменного ПО, рекомендуется всем пользователям немедленно установить предложенные обновления безопасности для защиты своих систем от возможных атак.
Первая уязвимость, CVE-2025-3462, имеет оценку критичности 8.4 по шкале CVSS и связана с ошибкой проверки источника запроса. Она позволяет неавторизованным источникам взаимодействовать с программным обеспечением через специально сформированные HTTP-запросы. Вторая брешь, CVE-2025-3463, еще опаснее — с оценкой 9.4 она связана с неправильной валидацией сертификатов и также позволяет недоверенным источникам влиять на поведение системы.
Обе уязвимости были обнаружены и сообщены компании ASUS исследователем безопасности, известным под псевдонимом MrBruh. По его данным, эти недостатки могут использоваться для удаленного выполнения кода (RCE) в рамках атаки, требующей всего одного клика от пользователя.
Техническая цепочка атаки начинается с того, что злоумышленник обманом заставляет пользователя посетить поддомен driverhub.asus[.]com. Например, это может быть домен вида .<случайная_строка>.com. Далее атакующий эксплуатирует конечную точку UpdateApp в DriverHub, что позволяет запустить легитимный исполняемый файл "AsusSetup.exe" с опцией выполнения файлов с поддельного домена.
AsusSetup.exe считывает метаданные из файла AsusSetup.ini, и когда он запускается с флагом "-s" (тихая установка), выполняет любую команду, указанную в свойстве "SilentInstallRun". Это открывает путь для выполнения вредоносного кода.
Для успешной эксплуатации уязвимостей злоумышленнику необходимо создать домен и разместить на нем три файла: вредоносную нагрузку, модифицированный AsusSetup.ini со свойством "SilentInstallRun", указывающим на вредоносный бинарный файл, и сам AsusSetup.exe.
На данный момент нет свидетельств эксплуатации этих уязвимостей в реальных атаках. ASUS уже выпустила обновления для устранения обнаруженных проблем и рекомендует пользователям обновить ПО, открыв DriverHub и нажав кнопку «Обновить сейчас».
DriverHub — это инструмент, разработанный для автоматического определения моделей материнских плат и отображения необходимых обновлений драйверов для установки. Программа взаимодействует с выделенным сайтом driverhub.asus[.]com, что и стало точкой входа для потенциальных атак.
Учитывая широкое распространение материнских плат ASUS и популярность их фирменного ПО, рекомендуется всем пользователям немедленно установить предложенные обновления безопасности для защиты своих систем от возможных атак.