A utilidade de gerenciamento de drivers ASUS DriverHub estava vulnerável a uma falha crítica de execução remota de código que permitia a sites maliciosos executar comandos em dispositivos com o software instalado.
A falha foi descoberta por um pesquisador independente de cibersegurança da Nova Zelândia chamado Paul (conhecido como "MrBruh"), que constatou que o software tinha uma validação precária de comandos enviados ao serviço em segundo plano do DriverHub.
Isso permitiu ao pesquisador criar uma cadeia de exploração utilizando falhas rastreadas como
CVE-2025-3462
e
CVE-2025-3463
que, quando combinadas, conseguem contornar a origem e desencadear uma execução remota de código no alvo.
DriverHub é a ferramenta oficial de gerenciamento de drivers da ASUS que é automaticamente instalada na primeira inicialização do sistema ao utilizar certas placas-mãe da ASUS.
Esse software opera em segundo plano, detectando automaticamente e buscando as versões mais recentes de drivers para o modelo da placa-mãe detectada e seu chipset.
Uma vez instalada, a ferramenta permanece ativa e rodando em segundo plano via um serviço local na porta 53000, verificando continuamente por atualizações importantes de drivers.
Enquanto isso, a maioria dos usuários sequer sabe que tal serviço está constantemente rodando em seu sistema.
Esse serviço checa o Header de Origem de requisições HTTP vindas para rejeitar qualquer coisa que não venha de 'driverhub.asus.com.'
No entanto, essa verificação é mal implementada, pois qualquer site que inclua essa string é aceito mesmo que não seja uma correspondência exata com o portal oficial da ASUS.
O segundo problema reside no endpoint UpdateApp, que permite ao DriverHub baixar e executar arquivos .exe de URLs ".asus.com" sem confirmação do usuário.
Um atacante pode mirar em qualquer usuário com o ASUS DriverHub rodando em seu sistema para induzi-lo a visitar um website malicioso em seu navegador.
Esse site então envia "solicitações UpdateApp" para o serviço local em 'http://127.0.0.1:53000.'
Ao falsificar o Header de Origem para algo como 'driverhub.asus.com.mrbruh.com,' a fraca verificação é contornada, então o DriverHub aceita os comandos.
Na demonstração do pesquisador, os comandos ordenam ao software baixar um instalador ASUS-assinado legítimo 'AsusSetup.exe' do portal de download do fornecedor, junto com um arquivo .ini malicioso e um payload .exe.
O instalador assinado pela ASUS é silenciosamente executado como admin e utiliza as informações de configuração no arquivo .ini.
Este arquivo .ini direciona o instalador de driver legítimo da ASUS para lançar o arquivo executável malicioso.
O ataque também é possibilitado pela falha da ferramenta em excluir arquivos que falham nas verificações de assinatura, como o .ini e o payload, que são mantidos no hospedeiro após seu download.
A ASUS recebeu os relatórios do pesquisador em 8 de abril de 2025 e implementou uma correção em 18 de abril, após validá-la com o MrBruh no dia anterior.
O gigante do hardware não ofereceu ao pesquisador nenhuma recompensa por sua divulgação.
As descrições de CVE, que o fornecedor taiwanês submeteu, minimizam um tanto a questão com a seguinte declaração:
"Este problema é limitado a placas-mãe e não afeta laptops, computadores desktop ou outros endpoints," lê-se na descrição do CVE.
Isso é confuso, pois os CVEs mencionados impactam laptops e computadores desktop com o DriverHub instalado.
No entanto, a ASUS é mais clara em seu boletim de segurança, aconselhando os usuários a aplicarem rapidamente a última atualização.
"Esta atualização inclui atualizações de segurança importantes e a ASUS recomenda fortemente que os usuários atualizem sua instalação do ASUS DriverHub para a versão mais recente," lê-se no boletim.
A última Atualização de Software pode ser acessada abrindo o ASUS DriverHub e, em seguida, clicando no botão 'Atualizar Agora'.
MrBruh diz que monitorou atualizações de transparência de certificados e não encontrou outros certificados TLS contendo a string "driverhub.asus.com", indicando que não foi explorado na prática.
Se você se sente desconfortável com um serviço em segundo plano buscando automaticamente arquivos potencialmente perigosos ao visitar sites, você pode desativar o DriverHub nas configurações da sua BIOS.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...