Один клик по сайту — и ASUS запускает чужой код с привилегиями

Пользователь, купивший материнскую плату ASUS, обнаружил , что программное обеспечение для установки драйверов, автоматически активируемое через BIOS, содержит уязвимость , позволяющую выполнить произвольный код с правами администратора — причём всего в один клик. Речь идёт о компоненте DriverHub, который устанавливается при первом запуске Windows и действует в фоновом режиме без графического интерфейса.

DriverHub связывается с сайтом driverhub.asus.com через локальный RPC-сервис на порту 53000, предоставляя сайтам доступ к API-интерфейсу, который управляет драйверами, получает информацию об устройствах, выполняет перезагрузку системы, а также позволяет скачивать и запускать исполняемые файлы. Первым барьером безопасности служила проверка заголовка Origin — сервис принимал только запросы от driverhub.asus.com. Однако оказалось, что проверка была реализована с помощью метода включения строки, что позволило обойти её с доменом driverhub.asus.com.attacker.com.

Исследователь изучил код и обнаружил особо интересный эндпоинт UpdateApp, позволяющий скачать и запустить любой исполняемый файл, если он подписан ASUS. Однако если подпись не проходит проверку, файл остаётся в системе. Это открывало путь к цепочке атаки.

Ключевым элементом стал установщик Wi-Fi-драйвера от ASUS. Он включал файл AsusSetup.exe, читающий конфигурацию из файла AsusSetup.ini. В нём присутствовала директива SilentInstallRun, указывающая, какой файл запускать при тихой установке. Исследователь создал ini с указанием запуска calc.exe, загрузил его через UpdateApp, затем вызвал установку подписанного AsusSetup.exe, в результате чего calc.exe был запущен с правами администратора — демонстрируя полноценное удалённое выполнение кода.

Цепочка выглядела так:

1. Посещение сайта на поддомене driverhub.asus.com.*

2. Отправка запроса к UpdateApp с загрузкой calc.exe (файл не выполняется из-за неподписанности)

3. Загрузка кастомного AsusSetup.ini с командой запуска calc.exe

4. Загрузка подписанного AsusSetup.exe, который выполняется с параметром -s и запускает calc.exe с привилегиями администратора

Исследователь сообщил об уязвимости 8 апреля 2025 года, на следующий день ASUS выслала исправленную версию, и уже 18 апреля обновление было опубликовано. CVE-2025-3462 и CVE-2025-3463 получили оценки 8.4 и 9.4 по CVSS соответственно. Автор также проверил через логи сертификатов, не регистрировал ли кто-либо домены с нужным шаблоном — и пришёл к выводу, что эксплойт не использовался до публикации.

ASUS отказалась выплачивать вознаграждение, предложив включить исследователя в «зал славы». При этом описание уязвимости в CVE оказалось расплывчатым: вместо прямого указания на возможность удалённого выполнения кода компания заявила, что ошибка «может позволить недоверенным источникам повлиять на поведение системы».

Любопытный момент: при попытке отправить отчёт об уязвимости через форму ASUS, CDN-платформа CloudFront блокировала его как вредоносный. В итоге пришлось прикладывать не PoC, а ссылку на видео. А ещё выяснилось, что кнопка «Установить всё» в DriverHub помимо нужных драйверов устанавливает ASUS ArmouryCrate, Norton360 и даже WinRAR. Что ж, Wi-Fi так и не заработал — пришлось докупать внешний адаптер.