Уязвимость Asus DriverHub позволяла вредоносным сайтам выполнять команды с правами администратора

Утилита управления драйверами Asus DriverHub содержала критическую уязвимость удалённого выполнения кода, которая позволяла вредоносным сайтам выполнять команды на устройствах с установленным программным обеспечением.

Уязвимость обнаружил независимый исследователь кибербезопасности из Новой Зеландии по имени Пол («MrBruh»). Он выяснил, что программное обеспечение плохо проверяло команды, отправляемые в фоновую службу DriverHub.

Это позволило исследователю создать цепочку эксплойтов, использующую уязвимости, отслеживаемые как CVE-2025-3462 и CVE-2025-3463, которые при объединении достигают обхода источника и запускают удалённое выполнение кода.

DriverHub — это официальный инструмент управления драйверами Asus, который автоматически устанавливается при первой загрузке системы при использовании определённых материнских плат компании. Это программное обеспечение работает в фоновом режиме, автоматически обнаруживая и извлекая последние версии драйверов. После установки инструмент остается активным и работает в фоновом режиме через локальную службу на порту 53000, постоянно проверяя наличие важных обновлений драйверов. Эта служба проверяет заголовок Origin входящих HTTP-запросов, чтобы отклонять все, не поступающие с 'driverhub.asus.com'.

Однако исследователь выяснил, что механизм проверки реализован плохо, так как любой сайт, содержащий эту строку, одобряется.

Вторая проблема заключается в конечной точке UpdateApp, которая позволяет DriverHub загружать и запускать файлы .exe с URL-адресов .asus.com без подтверждения пользователя.

В итоге злоумышленник может обманом заставить пользователя посетить вредоносный веб-сайт в своём браузере. Затем этот веб-сайт отправляет «запросы UpdateApp» локальной службе по адресу