聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
DriverHub 工具旨在自动检测计算机的主板型号,通过与托管在 “driverhub.asus[.]com” 上的一个专门网站通信,为后续安装展示必要的驱动更新。这两个漏洞概述如下:
-
CVE-2025-3462(CVSS 8.4):该来源验证错误漏洞可导致越权攻击者通过构造的HTTP请求与DriverHub 的特性进行交互。
-
CVE-2025-3463(CVSS 9.4):该证书验证不当漏洞可导致不可信来源通过构造的HTTP请求影响系统行为。
这两个漏洞是由安全研究员 MrBruh 发现并报送的,他表示这两个漏洞可被用于实现远程代码执行后果,作为一次点击攻击活动的一个组成部分。
该攻击链主要涉及诱骗一个毫不知情的用户访问 driverhub.asus[.]com 的子域名,之后利用 DrvierHub 的 UpdateApp 端点来执行 “AsusSetup.exe”二进制的合法版本,运行托管在虚假域名上的任意文件。
研究员在一份技术报告中提到,“执行 AsusSetup.exe时,它首先从 AsusSetup.ini 中读取,其中包括关于该驱动的元数据。如果运行带有“–s”标记的AsusSetup.exe,则它会执行 SilentInstallRun 中指定的任何东西。在本例中,ini 文件指定了一个 cmd 脚本可执行该驱动的自动化无标头安装,但它可运行任何内容。”
攻击者触发该利用所需做的就是创建一个域名并托管三份文件,要运行的恶意payload、将属性 “SilentInstallRun” 属性设置为恶意二进制的 AsusSetup.ini 修改版本以及利用该属性运行payload 的 AsusSetup.exe。
研究员在2025年4月8日负责任地披露该漏洞,华硕在5月9日修复,目前尚无证据表明这些漏洞已遭在野利用。华硕在一份安全通告中提到,“该更新中包含重要的安全更新,华硕强烈建议用户将 ASUS DriverHub 更新至最新版本。打开 ASUS DrvierHub 之后点击‘立即更新’按钮,即可访问最新软件更新。”
原文始发于微信公众号(代码卫士):华硕修复严重的DriverHub 漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论