Paul หรือในชื่อ “MrBruh” นักวิจัยด้านความปลอดภัยทางไซเบอร์อิสระจากนิวซีแลนด์ ได้ออกมาเผยแพร่ช่องโหว่บน ASUS DriverHub driver management utility ที่มีความเสี่ยงต่อการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ซึ่งทำให้เว็บไซต์อันตรายสามารถเรียกใช้คำสั่งบนอุปกรณ์ที่มีซอฟต์แวร์ติดตั้งอยู่ได้
ช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์อิสระจากนิวซีแลนด์ที่ชื่อ Paul (หรือที่รู้จักในชื่อ "MrBruh") ซึ่งพบว่าซอฟต์แวร์มีการตรวจสอบคำสั่งที่ส่งไปยัง background service ของ DriverHub ไม่เหมาะสม
เหตุการณ์นี้ทำให้นักวิจัยสามารถสร้าง exploit chain โดยใช้ช่องโหว่หมายเลข CVE-2025-3462 และ CVE-2025-3463 ซึ่งเมื่อใช้ร่วมกันแล้วจะสามารถ bypass และทริกเกอร์การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนเป้าหมายได้
ปัญหาของ DriverHub
DriverHub คือเครื่องมือจัดการไดรเวอร์อย่างเป็นทางการของ ASUS ที่จะติดตั้งโดยอัตโนมัติเมื่อบูตระบบครั้งแรก เมื่อใช้เมนบอร์ด ASUS บางรุ่น ซอฟต์แวร์นี้ทำงานใน background โดยตรวจจับ และดึงเวอร์ชันไดรเวอร์ล่าสุดสำหรับรุ่นเมนบอร์ดที่ตรวจพบ และชิปเซ็ตโดยอัตโนมัติ
เมื่อติดตั้งแล้ว เครื่องมือจะยังคงทำงานเป็น background ผ่าน local service บนพอร์ต 53000 โดยตรวจหาการอัปเดตไดรเวอร์ที่สำคัญอย่างต่อเนื่อง ในขณะที่ผู้ใช้ส่วนใหญ่ไม่รู้ด้วยซ้ำว่ามีบริการดังกล่าวทำงานอยู่บนระบบอย่างต่อเนื่อง
DriverHub จะตรวจสอบ Origin Header ของ HTTP requests ขาเข้าเพื่อปฏิเสธสิ่งใดก็ตามที่ไม่ได้มาจาก 'driverhub.asus.com'
แต่เนื่องจากช่องโหว่ในการตรวจสอบ validation of commands ทำให้ สตริงดังกล่าวจะได้รับการยอมรับ แม้ว่าจะไม่ตรงกับ ASUS's official portal ก็ตาม
รวมถึงปัญหาของ UpdateApp endpoint ที่ทำให้ DriverHub สามารถดาวน์โหลด และรันไฟล์ .exe จาก URL ".asus.com" ได้โดยไม่ต้องมีการยืนยันจากผู้ใช้
การโจมตีแบบ “Stealthy Attack”
Hacker สามารถกำหนดเป้าหมายผู้ใช้รายใดก็ได้ที่มี ASUS DriverHub ทำงานอยู่บนระบบของตนเพื่อหลอกล่อให้เข้าไปเยี่ยมชมเว็บไซต์ที่เป็นอันตรายผ่าน browser ของตน จากนั้นเว็บไซต์ดังกล่าวจะส่ง "UpdateApp requests" ไปยัง local service ที่ 'http://127.0.0.1:53000'
ด้วยการปลอมแปลง Origin Header เป็นบางอย่างเช่น 'driverhub.asus.com.mrbruh.com' จะทำให้การตรวจสอบความถูกต้องโดน bypass ข้ามไป ดังนั้น DriverHub จึงยอมรับคำสั่งเหล่านี้
ในการสาธิตของนักวิจัย คำสั่งจะสั่งให้ซอฟต์แวร์ดาวน์โหลดตัวติดตั้ง 'AsusSetup.exe' ที่ sign โดย ASUS อย่างถูกต้องจาก download portal ของผู้จำหน่าย รวมถึงไฟล์ .ini file และ .exe payload ที่เป็นอันตราย
โปรแกรม ASUS-signed installer จะทำงานแบบเงียบ ๆ ในฐานะผู้ดูแลระบบ และใช้ข้อมูลการกำหนดค่าในไฟล์ .ini ไฟล์ ini นี้จะสั่งให้โปรแกรม ASUS driver installer เปิดใช้งานไฟล์ executable ที่เป็นอันตราย
การโจมตีนี้สามารถทำได้เนื่องจากเครื่องมือไม่สามารถลบไฟล์ที่ไม่ผ่านการตรวจสอบ signature เช่น .ini และเพย์โหลดที่เก็บไว้บนโฮสต์หลังจากการดาวน์โหลด
การตอบสนองของ ASUS และการใช้งานของ User
ASUS ได้รับรายงานของนักวิจัยเมื่อวันที่ 8 เมษายน 2025 และดำเนินการแก้ไขช่องโหว่เมื่อวันที่ 18 เมษายน 2025 หลังจากตรวจสอบกับ MrBruh หนึ่งวันก่อนหน้านั้น ASUS ไม่ได้เสนอเงินรางวัลใด ๆ ให้กับนักวิจัยสำหรับการเปิดเผยข้อมูลช่องโหว่ที่ค้นพบ
ทั้งนี้ทาง ASUS ระบุว่า ช่องโหว่ดังกล่าวเกิดขึ้นเฉพาะเมนบอร์ดเท่านั้น และไม่ส่งผลกระทบต่อ laptops, desktop computers หรืออุปกรณ์ endpoints อื่น ๆ ซึ่งขัดแย้งกับคำอธิบายของ CVE ที่อธิบายว่ามีผลกระทบต่อ laptops และ desktop computer ที่มีการติดตั้ง DriverHub ไว้ แต่ทั้งนี้ทาง ASUS ได้แนะนำให้ผู้ใช้งานทำการอัปเดตเพื่อแก้ไขช่องโหว่โดยด่วน
สามารถเข้าถึง Software Update เวอร์ชันล่าสุดได้โดยเปิด ASUS DriverHub จากนั้นคลิกปุ่ม "Update Now"
รวมถึง MrBruh ระบุว่า เขาได้ตรวจสอบการอัปเดตความโปร่งใสของ certificate และไม่พบ TLS certificate อื่นที่มีสตริง "driverhub.asus.com" ซึ่งหมายความว่าน่าจะยังไม่พบการโจมตีด้วยช่องโหว่ดังกล่าว
หากผู้ใช้งานไม่ต้องการให้ DriverHub ทำงานอยู่ background ที่อาจทำให้เกิดการโจมตีดึงไฟล์ที่อาจเป็นอันตรายโดยอัตโนมัติเมื่อเข้าชมเว็บไซต์ ผู้ใช้งานสามารถปิดใช้งาน DriverHub จากการตั้งค่า BIOS ได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.