Asus DriverHub-lek maakt remote code execution mogelijk
Een beveiligingsonderzoeker heeft in de DriverHub-software van fabrikant Asus kwetsbaarheden ontdekt die remote code execution mogelijk maken. Asus heeft patches uitgebracht om het probleem te verhelpen. DriverHub is driversoftware die standaard geïnstalleerd op systemen kan zijn of via de BIOS van Asus-moederborden is te installeren. Eenmaal actief draait DriverHub in de achtergrond en maakt verbinding met de website driverhub.asus.com om te kijken of er nieuwe drivers voor het systeem beschikbaar zijn.
De website maakt gebruik van een remote procedure call (RPC) om met het DriveHub-proces op systemen van gebruikers te communiceren. Het achtergrondproces draait lokaal een HTTP- of Websocket-service waar een website of service via een API-request mee kan verbinden. De DriverHub-software luistert alleen naar requests met driverhub.asus.com in de header. Een onderzoeker met het alias MrBruh ontdekte dat de software ook requests accepteert met driverhub.asus.com in de naam, bijvoorbeeld driverhub.asus.com.evilwebsite.tld.
Eén van de functies van DriverHub, met de naam UpdateApp, zorgt ervoor dat de applicatie zichzelf updatet. Via deze functie is het mogelijk om DriverHub malafide code uit laten voeren, aldus de onderzoeker. Het doelwit moet hiervoor eerst een malafide domein met driverhub.asus.com in de naam bezoeken. Vervolgens plaatst deze malafide site malware op het systeem. Omdat de malware niet door Asus gesigneerd is zal die niet worden uitgevoerd. De malafide site kan het systeem van gebruikers ook een 'silent install' laten doen, waarbij de eerder geplaatste malware toch wordt uitgevoerd.
De impact van de twee kwetsbaarheden, CVE-2025-3462 en CVE-2025-3463, is op een schaal van 1 tot en met 10 beoordeeld met respectievelijk een 9.4 en een 8.4. De onderzoeker waarschuwde Asus op 7 april. De fabrikant kwam op 9 mei met updates. MrBruh noemt de beschrijving van Asus een beetje misleidend. "Hun CVE-omschrijving voor de remote code execution is een beetje misleidend. Ze zeggen "Dit probleem is beperkt tot moederborden en heeft geen invloed op laptops, desktopcomputers". Dit raakt echter elke computer, waaronder desktops/laptops, waar DriverHub op is geïnstalleerd."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?