Được phát hiện bởi nhà nghiên cứu an ninh mạng độc lập đến từ New Zealand có biệt danh là MrBruh, nếu lỗ hổng này bị khai thác, kẻ tấn công có thể thực hiện lệnh từ xa trên máy tính sử dụng bo mạch chủ Asus đã cài đặt tiện ích này.
Asus phủ nhận tầm quan trọng của lỗ hổng vừa bị phát hiện
ẢNH: REUTERS
DriverHub là một ứng dụng chính thức của Asus được thiết kế để tự động quản lý và cập nhật trình điều khiển cho bo mạch chủ và chipset. Trong quá trình thiết lập hệ thống ban đầu, tiện ích này sẽ tự động tải về máy tính. Tuy nhiên, nhiều người dùng không hề biết rằng dịch vụ này đang chạy ẩn trên máy tính của họ.
Tiện ích sử dụng giao thức Remote Procedure Call (RPC) và cổng 53000 để kiểm tra bản cập nhật trình điều khiển. Dù có cơ chế xác thực yêu cầu HTTP, quy trình này lại được triển khai kém khi cho phép dịch vụ chấp nhận yêu cầu từ bất kỳ trang web nào có chứa "driverhub.asus.com" trong tên miền, ngay cả khi đó không phải là tài nguyên hợp pháp của Asus.
Một vấn đề khác liên quan đến mô-đun UpdateApp cho phép DriverHub tải xuống và thực thi các tệp .exe từ các URL có chứa ".asus.com". Nhà nghiên cứu MrBruh chỉ ra rằng tiện ích này không chỉ tải xuống các tệp từ các URL hợp lệ mà còn thực thi các tệp không được xác thực với quyền quản trị viên.
Asus tìm cách từ chối cấp thưởng cho người phát hiện lỗ hổng
Kẻ tấn công có thể lợi dụng lỗ hổng này bằng cách lừa người dùng truy cập vào một trang web độc hại. Trang web này sẽ gửi yêu cầu UpdateApp đến dịch vụ cục bộ, thay đổi tiêu đề để qua mặt quy trình xác thực, từ đó cho phép DriverHub chấp nhận yêu cầu từ trang độc hại.
WhatsApp có thể bị tin tặc khai thác vì lỗ hổng trong phần mềm phiên bản cũ
Trong một cuộc thử nghiệm, MrBruh đã thành công trong việc tải xuống cả tệp cài đặt hợp pháp và tệp độc hại. Điều này cho thấy mức độ nghiêm trọng của lỗ hổng khi mà tiện ích không xóa các tệp không vượt qua kiểm tra chữ ký.
Chuỗi khai thác này tập trung vào các lỗ hổng CVE-2025-3462 và CVE-2025-3463. MrBruh đã thông báo cho Asus về vấn đề này vào ngày 8.4 và Asus phát hành bản sửa lỗi vào ngày 18.4. Mặc dù công ty công bố thông tin về lỗ hổng nhưng mô tả trên trang web của họ có phần hạ thấp tầm quan trọng của sự cố khi cho rằng chỉ ảnh hưởng đến bo mạch chủ mà không tác động đến PC hay laptop như là cách để lảng tránh việc trao thưởng cho MrBruh.
Thực tế, sự cố này ảnh hưởng đến tất cả PC và laptop đã cài đặt DriverHub. Sau khi phát hành bản sửa lỗi, Asus khuyến cáo người dùng nên cập nhật DriverHub lên phiên bản mới nhất. Hiện tại, vẫn chưa rõ liệu những lỗ hổng này đã bị tin tặc lợi dụng để thực hiện các cuộc tấn công thực sự hay chưa.
