Хотел поярче — получил SYSTEM. Теперь так работает подсветка от ASUS

В программном обеспечении Armoury Crate от ASUS обнаружена критическая уязвимость , позволяющая злоумышленникам повысить привилегии до уровня SYSTEM на устройствах с Windows. Уязвимость получила идентификатор CVE-2025-3464 и оценку CVSS: 8.8.

Armoury Crate используется для управления системой и периферией ASUS — через него настраивается подсветка, контролируются вентиляторы, профили производительности и производится обновление драйверов и прошивок. Чтобы выполнять эти функции, приложение взаимодействует с системой на уровне ядра через драйвер AsIO3.sys. Именно этот компонент и оказался уязвимым.

Проблема связана с тем, как драйвер проверяет, кто обращается к нему: вместо нормального механизма контроля доступа на уровне операционной системы, AsIO3.sys полагается на жёстко прописанную хэш-сумму SHA-256 исполняемого файла AsusCertService.exe и список разрешённых PID. Это позволяет обойти авторизацию с помощью достаточно простой подмены.

Атака строится на создании жёсткой ссылки от безвредного приложения на подложный исполняемый файл. После запуска приложения злоумышленник ставит его выполнение на паузу и меняет ссылку на оригинальный AsusCertService.exe. Когда драйвер сверяет хэш, он видит доверенный файл и позволяет приложению получить доступ. Так атакующий получает полномочия системного уровня, включая прямой доступ к физической памяти, портам ввода-вывода и регистрам процессора, что открывает путь к полному захвату управления системой.

Сообщается, что эксплуатировать эту уязвимость можно только с уже полученным доступом к компьютеру — например, после заражения вредоносным ПО или через фишинг. Однако широкое распространение Armoury Crate делает эту уязвимость потенциально привлекательной для атакующих.

Уязвимость была обнаружена Cisco Talos и передана ASUS в феврале 2025 года. Представители Cisco подтвердили, что уязвимость присутствует в версии Armoury Crate 5.9.13.0, а по данным ASUS, проблема затрагивает весь диапазон версий от 5.9.9.0 до 6.1.18.0.

Для устранения уязвимости рекомендуется обновить Armoury Crate до последней версии. Это можно сделать через само приложение в разделе «Настройки» — «Центр обновлений» — «Проверить наличие обновлений» — «Обновить».

Хотя случаев активной эксплуатации CVE-2025-3464 в дикой природе пока не зафиксировано, ASUS подчёркивает важность установки обновлений. Уязвимости в драйверах ядра Windows с возможностью локального повышения привилегий традиционно представляют интерес для вымогателей, вредоносных группировок и атак на государственные структуры.