一位新西兰网络安全研究人员,化名MrBruh,发现了ASUS专有驱动管理工具DriverHub中的一个关键漏洞。该漏洞允许攻击者在易受攻击的系统上以提升的权限远程执行命令。
DriverHub在初始系统设置时与部分ASUS主板自动安装,静默运行在后台,扫描53000端口以寻找驱动更新请求。该服务拒绝HTTP请求,除非其Origin头指向官方的driverhub.asus.com域。然而,它的验证逻辑允许任何包含字符串“driverhub.asus.com”的域名——甚至是像driverhub.asus.com.attacker.com这样的恶意仿冒网站。
第二个漏洞存在于DriverHub的UpdateApp模块中,该模块从包含“.asus.com”的URL下载并自动执行.exe文件。该工具既不需要用户同意,也不验证数字签名,从而在系统上留下潜在危险的文件。
为了利用这个漏洞,攻击者诱使用户访问一个恶意网页。该页面向http://127.0.0.1:53000发送HTTP请求,伪造Origin头以模仿一个受信任的ASUS域。一旦检查被绕过,DriverHub便从ASUS的服务器下载合法的AsusSetup.exe安装程序——以及一个恶意的.ini文件和.exe有效载荷。然后,安装程序以管理员权限运行,执行.ini文件中定义的攻击者控制的代码。
在一份公告中,ASUS敦促主板用户立即通过应用程序的“立即更新”按钮更新DriverHub。然而,该厂商的CVE-2025-3462和CVE-2025-3463条目有争议地声明该问题仅影响主板,忽略了台式机和笔记本电脑——尽管DriverHub在ASUS设备中广泛部署。
虽然没有报告活跃的利用,但寻求最大保护的用户被建议通过BIOS设置禁用DriverHub,以阻止隐蔽的后台更新。
