Oprogramowanie DriverHub, opracowane przez jednego z największych producentów sprzętu komputerowego na świecie — firmę Asus — znalazło się w centrum głośnej afery bezpieczeństwa.
Jak ujawnił anonimowy badacz posługujący się pseudonimem Mr.Bruh, aplikacja zawierała krytyczne luki bezpieczeństwa, które mogły umożliwić nieautoryzowanym osobom zdalne przejęcie kontroli nad komputerami użytkowników. Mimo powagi sytuacji, Asus odmówił wypłacenia nagrody za odkrycie błędu, ograniczając się do lakonicznej reakcji i opóźnionej publikacji poprawek.
Zaufane oprogramowanie, niebezpieczne działanie
DriverHub to preinstalowane narzędzie Asusa, które automatycznie instaluje i aktualizuje sterowniki na komputerach z płytami głównymi tej firmy. Program działa w tle, bez widocznego interfejsu graficznego, jest aktywowany przez BIOS, a po uruchomieniu systemu komunikuje się z serwerami Asusa. Na pozór pomocna funkcja okazała się jednak furtką dla cyberprzestępców. Według Mr.Bruha, oprogramowanie zawierało poważne błędy w implementacji mechanizmu RPC (Remote Procedure Call) oraz niewłaściwe filtrowanie adresów URL, co umożliwiało przesyłanie złośliwego kodu z fałszywych źródeł podszywających się pod domenę Asusa.
„Cichy atak” z uprawnieniami administratora
Największym zagrożeniem było to, że DriverHub pozwalał pobierać i uruchamiać pliki wykonywalne zdalnie, w tym także złośliwe oprogramowanie, z uprawnieniami administratora, bez wiedzy użytkownika. Mr.Bruh, testując lukę, skonfigurował system tak, by uruchomić kalkulator Windows — i program uruchomił się bez żadnych przeszkód, potwierdzając krytyczny charakter błędu.
Dwie poważne luki, którym nadano oznaczenia CVE-2025-3462 i CVE-2025-3463, otrzymały odpowiednio oceny zagrożenia 8,4 oraz 9,4 na 10 w skali CVSS. Oznacza to, że należą one do najgroźniejszych kategorii podatności.
Zgłoszenie bez odpowiedzi, łatka po miesiącu
Mr.Bruh zgłosił problem firmie 8 kwietnia 2025 roku. Mimo pilności sytuacji, Asus nie zareagował natychmiastowo. Łatkę bezpieczeństwa opublikowano dopiero 9 maja, co oznacza ponad miesiąc potencjalnej ekspozycji milionów użytkowników na atak. Co więcej, firma odmówiła wypłacenia jakiejkolwiek nagrody za ujawnienie błędu. Zamiast tego zaproponowano... wpisanie nazwiska odkrywcy do internetowej „galerii sław”. „Zapytałem Asusa, czy oferują nagrody za wykrycie błędów. Odpowiedzieli, że nie, ale mogą mnie uhonorować wpisem” – napisał Mr.Bruh na swoim blogu.
Zagrożenie minęło – ale reputacja nadwątlona
Choć Asus opublikował poprawki, eksperci ds. bezpieczeństwa są zgodni: przypadek DriverHub to podręcznikowy przykład zaniedbań w zakresie cyberbezpieczeństwa, które mogły doprowadzić do szeroko zakrojonych ataków z użyciem legalnego oprogramowania.
Na szczęście Mr.Bruh zaznaczył, że nie znalazł dowodów na to, że luka była wcześniej aktywnie wykorzystywana. „Nie widziałem żadnej aktywnej domeny driverhub.asus.com.*. Wygląda na to, że luka nie została jeszcze wykorzystana — ale równie dobrze mogła zostać niezauważona” — napisał.
Pokaż / Dodaj komentarze do: Fatalna wpadka Asusa - krytyczna Luka w DriverHub umożliwia przejęcie komputera