Сегодня 24 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Миллионы ПК оказались под угрозой взлома из-за дыр в фирменном ПО материнских плат Asus

Утилита управления драйверами Asus DriverHub, которая поставляется вместе с материнскими платами компании, имеет ряд уязвимостей, эксплуатация которых может позволить злоумышленникам осуществлять удалённое выполнение команд на компьютерах, где она установлена. Проблему обнаружил независимый исследователь в сфере кибербезопасности из Новой Зеландии, известный под ником MrBruh.

 Источник изображения: Mika Baumeister / Unsplash

Источник изображения: Mika Baumeister / Unsplash

DriverHub представляет собой официальную утилиту Asus, которая предназначена для управления драйверами. Она автоматически загружается на компьютеры с определёнными материнским платами компании при первичной настройке системы. Приложение работает в фоновом режиме, автоматически определяя и загружая наиболее актуальные версии драйверов для материнской платы и чипсета. После установки утилита использует протокол удалённого вызова процедур (RPC) и порт 53000 для проверки обновлений драйверов. При этом большинство пользователей даже не подозревает, что на их ПК запущена такая служба.

Веб-сайты могут подключиться к созданной утилитой локальной службе через API-запросы. При этом она проверят заголовки входящих HTTP-запросов, чтобы отклонять всё, что приходит не от driverhub.asus.com. Однако процедура проверки плохо реализована, из-за чего служба принимает запросы от любого сайта, в имени которого содержится driverhub.asus.com, даже если он не является легитимным ресурсом, принадлежащим Asus.

Вторая проблема связана с модулем UpdateApp, который позволяет DriverHub загружать и запускать файлы с расширением .exe с URL-адресов, содержащих «.asus.com». Исследователь выяснил, что утилита сохраняет файлы, поступающие с таких URL-адресов, загружает файлы с любым расширением, выполняет подписанные файлы с правами администратора, а также не удаляет файлы, которые не прошли проверку подписи.

Фактически злоумышленник может выбрать любого пользователя, на компьютере которого запущен DriverHub, и обманом заставить его посетить вредоносный сайт. После этого с вредоносной страницы будут отправляться запросы UpdateApp локальной службе по адресу http://127.0.0.1:53000. Подмена заголовка на что-то вроде driverhub.asus.com.mrbruh.com позволяет пройти процедуру проверки подлинности, после чего DriverHub будет принимать запросы от вредоносного сайта.

В демонстрации исследователь успешно загружает легитимный установщик AsusSetup.exe с подписью Asus с портала вендора, а также вредоносный файл с расширением .ini и вредоносное ПО с расширением .exe. Программа установки с подписью Asus запускается от имени администратора и использует информацию о конфигурации в ini-файле, который направляет легитимную утилиту установки драйвера на запуск вредоносного исполняемого файла. Атака такого типа возможна ещё и потому, что утилита не удаляет файлы, которые не прошли проверку подписи вендора.

Созданная исследователем цепочка эксплойтов использует уязвимости CVE-2025-3462 и CVE-2025-3463. MrBruh уведомил Asus о проблеме 8 апреля, а соответствующее исправление вендор выпустил 18 апреля. Отмечается, что компания не предложила исследователю вознаграждение за обнаружение серьёзных уязвимостей. В описании уязвимостей на сайте Asus их значимость несколько преуменьшена. Там сказано, что проблема затрагивает только материнские платы и не касается ПК, ноутбуков и других устройств. Однако это не так, поскольку проблема затрагивает ПК и ноутбуки, на которых установлена утилита DriverHub. При этом после выхода исправления Asus настоятельно рекомендовала пользователям обновить версию DriverHub до наиболее актуальной. Использовались ли упомянутые уязвимости хакерами для проведения реальных атак, неизвестно.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Всего за год отечественный спрос на специалистов по безопасности ИИ вырос в 4 раза 8 мин.
Великобритания заставит Google ослабить контроль над своим поисковиком 2 ч.
GSC Game World подтвердила дату выхода следующего крупного обновления для S.T.A.L.K.E.R. 2: Heart of Chornobyl 2 ч.
Амбициозная ролевая песочница Hytale в духе Minecraft спустя десять лет разработки отменена, а студия будет расформирована 4 ч.
Суд обязал OpenAI хранить даже удалённые чаты, но пользователи считают это тотальной слежкой 6 ч.
Конгресс США запретил сотрудникам пользоваться высокорискованным WhatsApp 14 ч.
«Продолжаем держать курс на крутые обновления»: создатели «Мира танков» и «Мира кораблей» нацелены обжаловать решение суда 14 ч.
Одна платформа, чтоб править всеми: в библиотеку Xbox на ПК скоро можно будет добавить игры из Steam, Battle.net и «других ведущих магазинов» 15 ч.
Точки восстановления в Windows 11 теперь живут всего 60 дней 16 ч.
Штраф в €500 млн подействовал: Apple изменит политику App Store, но не для всех 16 ч.
Роботакси Tesla за два дня работы привлекли внимание американских властей странными манёврами 53 мин.
Lenovo анонсировала новые системы для дата-центров, оптимизированные для ИИ 2 ч.
Samsung подтвердила презентацию Unpacked 9 июля — покажут много новых складных смартфонов 2 ч.
Китай пообещал сотню прорывов в сфере ИИ, сопоставимых с выходом DeepSeek 3 ч.
Samsung заманивает инженеров на американские фабрики огромными зарплатами — в 1,5–2 раза выше, чем у Intel и TSMC 3 ч.
Процессор в составе новейшего ноутбука Huawei MateBook Fold выпускается по прежней 7-нм технологии 5 ч.
Владельцы «параллельно ввезённых» машин Lixiang до конца июня могут бесплатно получить мастер-аккаунт в РФ 8 ч.
Новая статья: Обзор ноутбука HONOR MagicBook Pro 14 (FMB-P) на платформе Core Ultra второго поколения 12 ч.
Акции Tesla подскочили на 8 % после запуска роботакси в Техасе 13 ч.
Huawei выпустит раскладушку Pocket 2 Premium Edition, которая будет дешевле оригинала 13 ч.