DriverHub, công cụ quản lý trình điều khiển của ASUS, đã tồn tại một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa (RCE). Các trang web độc hại có thể khai thác lỗ hổng này để thực thi lệnh trên máy tính người dùng.
DriverHub là một công cụ quản lý driver chính thức của ASUS, thường được cài đặt tự động khi người dùng khởi động hệ thống lần đầu trên các bo mạch chủ ASUS cụ thể. Ứng dụng này chạy dưới dạng dịch vụ cục bộ trên cổng 53000 và kiểm tra cập nhật trình điều khiển định kỳ.
Về nguyên tắc, dịch vụ này phải từ chối các yêu cầu HTTP không đến từ domain “driverhub.asus.com” bằng cách kiểm tra Origin Header. Tuy nhiên, cơ chế xác minh này có lỗ hổng: miễn là tên miền chứa chuỗi “driverhub.asus.com”, yêu cầu sẽ vượt qua được xác thực.
Kẻ tấn công có thể dụ người dùng đã cài đặt DriverHub truy cập vào một trang web độc hại. Trang này sẽ gửi yêu cầu “UpdateApp” đến dịch vụ cục bộ (http://127.0.0.1:53000), sử dụng Origin Header giả mạo (ví dụ: “driverhub.asus.com.mrbruh.com”) để qua mặt cơ chế kiểm tra.
Thông qua đó, kẻ tấn công có thể yêu cầu DriverHub tải xuống trình cài đặt “AsusSetup.exe” hợp pháp từ cổng tải chính thức của ASUS, đồng thời tải về tệp .ini và tệp thực thi độc hại (.exe). Trình cài đặt hợp pháp sẽ chạy ở quyền quản trị (admin) ở chế độ nền và khởi chạy mã độc theo cấu hình trong tệp .ini.
Ngoài ra, DriverHub không xóa các tệp bị lỗi xác minh chữ ký số, làm gia tăng nguy cơ bảo mật.
ASUS đã nhận được báo cáo từ các nhà nghiên cứu bảo mật vào ngày 8 tháng 4 năm 2025, và phát hành bản vá vào ngày 18 tháng 4. Trong thông báo bảo mật chính thức, ASUS khuyến cáo người dùng cập nhật DriverHub lên phiên bản mới nhất càng sớm càng tốt. Người dùng có thể mở phần mềm và nhấn “Cập nhật ngay” để nhận bản vá.
Về nguyên tắc, dịch vụ này phải từ chối các yêu cầu HTTP không đến từ domain “driverhub.asus.com” bằng cách kiểm tra Origin Header. Tuy nhiên, cơ chế xác minh này có lỗ hổng: miễn là tên miền chứa chuỗi “driverhub.asus.com”, yêu cầu sẽ vượt qua được xác thực.
Kẻ tấn công có thể dụ người dùng đã cài đặt DriverHub truy cập vào một trang web độc hại. Trang này sẽ gửi yêu cầu “UpdateApp” đến dịch vụ cục bộ (http://127.0.0.1:53000), sử dụng Origin Header giả mạo (ví dụ: “driverhub.asus.com.mrbruh.com”) để qua mặt cơ chế kiểm tra.
Thông qua đó, kẻ tấn công có thể yêu cầu DriverHub tải xuống trình cài đặt “AsusSetup.exe” hợp pháp từ cổng tải chính thức của ASUS, đồng thời tải về tệp .ini và tệp thực thi độc hại (.exe). Trình cài đặt hợp pháp sẽ chạy ở quyền quản trị (admin) ở chế độ nền và khởi chạy mã độc theo cấu hình trong tệp .ini.
Ngoài ra, DriverHub không xóa các tệp bị lỗi xác minh chữ ký số, làm gia tăng nguy cơ bảo mật.
ASUS đã nhận được báo cáo từ các nhà nghiên cứu bảo mật vào ngày 8 tháng 4 năm 2025, và phát hành bản vá vào ngày 18 tháng 4. Trong thông báo bảo mật chính thức, ASUS khuyến cáo người dùng cập nhật DriverHub lên phiên bản mới nhất càng sớm càng tốt. Người dùng có thể mở phần mềm và nhấn “Cập nhật ngay” để nhận bản vá.