Uma vulnerabilidade crítica no software Armoury Crate da ASUS poderia permitir que agentes de ameaças escalassem seus privilégios para o nível SYSTEM em máquinas Windows.
A falha de segurança é registrada como
CVE-2025-3464
e recebeu uma pontuação de severidade de 8,8 em 10.
Ela pode ser explorada para contornar a autorização e afeta o AsIO3.sys do software de gerenciamento de sistema Armoury Crate.
O Armoury Crate é o software oficial de controle de sistema da ASUS para Windows, oferecendo uma interface centralizada para controlar a iluminação RGB (Aura Sync), ajustar curvas de ventoinha, gerenciar perfis de desempenho e periféricos ASUS, além de baixar atualizações de drivers e firmware.
Para executar todas essas funções e fornecer monitoramento de sistema de baixo nível, o conjunto de software utiliza o driver de kernel para acessar e controlar recursos de hardware.
O pesquisador da Cisco Talos, Marcin "Icewall" Noga, reportou o
CVE-2025-3464
à empresa de tecnologia.
De acordo com um aviso da Talos, o problema reside no driver que verifica os chamadores com base em um hash SHA-256 codificado do AsusCertService.exe e uma lista de permissões de PID, em vez de usar controles de acesso apropriados no nível do OS.
Explorar a falha envolve criar um link direto de um aplicativo de teste benigno para um executável falso.
O atacante lança o aplicativo, pausa-o e, em seguida, troca o link direto para apontar para o AsusCertService.exe.
Quando o driver verifica o hash SHA-256 do arquivo, ele lê o binário confiável agora vinculado, permitindo que o aplicativo de teste contorne a autorização e ganhe acesso ao driver.
Isso concede ao atacante privilégios de sistema de baixo nível, dando-lhes acesso direto à memória física, portas I/O e registros específicos do modelo (MSRs), abrindo caminho para um comprometimento total do OS.
É importante notar que o atacante deve já estar no sistema (infecção por malware, phishing, conta não privilegiada comprometida) para explorar o
CVE-2025-3464
.
No entanto, o amplo uso do software em computadores em todo o mundo pode representar uma superfície de ataque grande o suficiente para que a exploração se torne atraente.
A Cisco Talos validou que o
CVE-2025-3464
impacta a versão 5.9.13.0 do Armoury Crate, mas um boletim da ASUS observa que a falha impacta todas as versões entre 5.9.9.0 e 6.1.18.0.
Para mitigar o problema de segurança, recomenda-se aplicar a última atualização abrindo o aplicativo Armoury Crate e indo para "Configurações" > "Centro de Atualização" > "Verificar Atualizações" > "Atualizar".
A Cisco reportou a falha para a ASUS em fevereiro, mas até o momento não foi observada nenhuma exploração no mundo real.
No entanto, "a ASUS recomenda fortemente que os usuários atualizem sua instalação do Armoury Crate para a versão mais recente."
Bugs no driver do kernel do Windows que levam à elevação de privilégio local são populares entre hackers, incluindo atores de ransomware, operações de malware e ameaças a agências governamentais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...