Официальная утилита DriverHub от ASUS, которая ставится вместе с материнскими платами компании, оказалась небезопасной. Как выяснил независимый исследователь из Новой Зеландии под ником MrBruh, программа содержит сразу две опасные уязвимости, позволяющие запускать на компьютере произвольные команды и файлы, причём — удалённо.
DriverHub работает в фоне: она автоматически проверяет драйверы на актуальность и обновляет их, используя протокол RPC и порт 53000. Проблема в том, что мало кто знает о её существовании, а уж тем более — о том, что она тихо открывает локальный интерфейс, к которому могут подключиться даже сторонние сайты.
По идее, программа должна принимать запросы только с домена driverhub.asus.com, но проверка подлинности сделана через строчку, а не через строгую валидацию. В итоге, даже сайт с именем driverhub.asus.com.badguys.ru проходит как легитимный.
Вторая дыра — в модуле UpdateApp, который загружает и запускает .exe-файлы с сайтов, в адресе которых есть «asus.com». Но и здесь всё просто: утилита не фильтрует расширения, не проверяет цифровые подписи как следует и не удаляет подозрительные файлы. А это значит, что злоумышленник может подсунуть систему с поддельным .ini-файлом, который даст команду DriverHub запустить вредоносный .exe под видом обычного обновления.
В своём видео MrBruh наглядно показал, как можно использовать эти лазейки: вредоносный сайт отправляет запрос на локальный адрес http:// 127.0.0.1:53000, притворяясь «правильным» доменом, после чего DriverHub без особых сомнений скачивает нужные файлы и запускает установщик — с правами администратора.
Уязвимости получили номера CVE-2025-3462 и CVE-2025-3463. MrBruh сообщил ASUS о проблеме 8 апреля, и через 10 дней был выпущен патч. Однако компания не стала предлагать исследователю вознаграждение и в описании обновления старается приуменьшить масштаб — якобы затронуты только материнские платы, а не компьютеры и ноутбуки в целом. На деле же уязвимость грозит всем устройствам, где установлена DriverHub.
Сейчас компания советует всем пользователям как можно скорее установить обновление. Использовались ли дыры в утилите в реальных атаках — пока неизвестно. Но сам факт, что стандартное ПО от крупного производителя позволяло так просто обойти защиту системы — тревожный звоночек.
