- 19,455
- 40
- 8 Ноя 2022
ASUS активирует Wi-Fi и админ-доступ для хакера.
Пользователь, купивший материнскую плату ASUS, Для просмотра ссылки Войдиили Зарегистрируйся , что программное обеспечение для установки драйверов, автоматически активируемое через BIOS, содержит Для просмотра ссылки Войди или Зарегистрируйся , позволяющую выполнить произвольный код с правами администратора — причём всего в один клик. Речь идёт о компоненте DriverHub, который устанавливается при первом запуске Windows и действует в фоновом режиме без графического интерфейса.
DriverHub связывается с сайтом <code>driverhub.asus.com</code> через локальный RPC-сервис на порту 53000, предоставляя сайтам доступ к API-интерфейсу, который управляет драйверами, получает информацию об устройствах, выполняет перезагрузку системы, а также позволяет скачивать и запускать исполняемые файлы. Первым барьером безопасности служила проверка заголовка <code>Origin</code> — сервис принимал только запросы от <code>driverhub.asus.com</code>. Однако оказалось, что проверка была реализована с помощью метода включения строки, что позволило обойти её с доменом <code>driverhub.asus.com.attacker.com</code>.
Исследователь изучил код и обнаружил особо интересный эндпоинт <code>UpdateApp</code>, позволяющий скачать и запустить любой исполняемый файл, если он подписан ASUS. Однако если подпись не проходит проверку, файл остаётся в системе. Это открывало путь к цепочке атаки.
Ключевым элементом стал установщик Wi-Fi-драйвера от ASUS. Он включал файл <code>AsusSetup.exe</code>, читающий конфигурацию из файла <code>AsusSetup.ini</code>. В нём присутствовала директива <code>SilentInstallRun</code>, указывающая, какой файл запускать при тихой установке. Исследователь создал <code>ini</code> с указанием запуска <code>calc.exe</code>, загрузил его через <code>UpdateApp</code>, затем вызвал установку подписанного <code>AsusSetup.exe</code>, в результате чего <code>calc.exe</code> был запущен с правами администратора — демонстрируя полноценное удалённое выполнение кода.
Цепочка выглядела так:
или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся получили оценки 8.4 и 9.4 по CVSS соответственно. Автор также проверил через логи сертификатов, не регистрировал ли кто-либо домены с нужным шаблоном — и пришёл к выводу, что эксплойт не использовался до публикации.
ASUS отказалась выплачивать вознаграждение, предложив включить исследователя в «зал славы». При этом описание уязвимости в CVE оказалось расплывчатым: вместо прямого указания на возможность удалённого выполнения кода компания заявила, что ошибка «может позволить недоверенным источникам повлиять на поведение системы».
Любопытный момент: при попытке отправить отчёт об уязвимости через форму ASUS, CDN-платформа CloudFront блокировала его как вредоносный. В итоге пришлось прикладывать не PoC, а ссылку на видео. А ещё выяснилось, что кнопка «Установить всё» в DriverHub помимо нужных драйверов устанавливает ASUS ArmouryCrate, Norton360 и даже WinRAR. Что ж, Wi-Fi так и не заработал — пришлось докупать внешний адаптер.
Пользователь, купивший материнскую плату ASUS, Для просмотра ссылки Войди
DriverHub связывается с сайтом <code>driverhub.asus.com</code> через локальный RPC-сервис на порту 53000, предоставляя сайтам доступ к API-интерфейсу, который управляет драйверами, получает информацию об устройствах, выполняет перезагрузку системы, а также позволяет скачивать и запускать исполняемые файлы. Первым барьером безопасности служила проверка заголовка <code>Origin</code> — сервис принимал только запросы от <code>driverhub.asus.com</code>. Однако оказалось, что проверка была реализована с помощью метода включения строки, что позволило обойти её с доменом <code>driverhub.asus.com.attacker.com</code>.
Исследователь изучил код и обнаружил особо интересный эндпоинт <code>UpdateApp</code>, позволяющий скачать и запустить любой исполняемый файл, если он подписан ASUS. Однако если подпись не проходит проверку, файл остаётся в системе. Это открывало путь к цепочке атаки.
Ключевым элементом стал установщик Wi-Fi-драйвера от ASUS. Он включал файл <code>AsusSetup.exe</code>, читающий конфигурацию из файла <code>AsusSetup.ini</code>. В нём присутствовала директива <code>SilentInstallRun</code>, указывающая, какой файл запускать при тихой установке. Исследователь создал <code>ini</code> с указанием запуска <code>calc.exe</code>, загрузил его через <code>UpdateApp</code>, затем вызвал установку подписанного <code>AsusSetup.exe</code>, в результате чего <code>calc.exe</code> был запущен с правами администратора — демонстрируя полноценное удалённое выполнение кода.
Цепочка выглядела так:
- Посещение сайта на поддомене <code>driverhub.asus.com.*</code>
- Отправка запроса к <code>UpdateApp</code> с загрузкой <code>calc.exe</code> (файл не выполняется из-за неподписанности)
- Загрузка кастомного <code>AsusSetup.ini</code> с командой запуска <code>calc.exe</code>
- Загрузка подписанного <code>AsusSetup.exe</code>, который выполняется с параметром <code>-s</code> и запускает <code>calc.exe</code> с привилегиями администратора
ASUS отказалась выплачивать вознаграждение, предложив включить исследователя в «зал славы». При этом описание уязвимости в CVE оказалось расплывчатым: вместо прямого указания на возможность удалённого выполнения кода компания заявила, что ошибка «может позволить недоверенным источникам повлиять на поведение системы».
Любопытный момент: при попытке отправить отчёт об уязвимости через форму ASUS, CDN-платформа CloudFront блокировала его как вредоносный. В итоге пришлось прикладывать не PoC, а ссылку на видео. А ещё выяснилось, что кнопка «Установить всё» в DriverHub помимо нужных драйверов устанавливает ASUS ArmouryCrate, Norton360 и даже WinRAR. Что ж, Wi-Fi так и не заработал — пришлось докупать внешний адаптер.
- Источник новости
- www.securitylab.ru
