Компания ASUS устранила серьезную уязвимость безопасности в популярном программном обеспечении Armoury Crate, которая позволяла злоумышленникам получить максимальные системные привилегии. Уязвимость CVE-2025-3464 с оценкой 8,8 баллов по шкале CVSS представляет значительную угрозу для миллионов пользователей игровых систем и рабочих станций ASUS по всему миру.
Что такое ASUS Armoury Crate и почему уязвимость критична
ASUS Armoury Crate представляет собой централизованное программное решение для управления игровыми компонентами и периферией. Через единый интерфейс пользователи контролируют RGB-подсветку Aura Sync, настраивают профили производительности, управляют системой охлаждения и загружают обновления драйверов. Для выполнения низкоуровневых операций мониторинга системы программа использует драйвер ядра с расширенными привилегиями.
Именно эта архитектурная особенность делает уязвимость особенно опасной. Компрометация драйвера ядра открывает атакующему прямой доступ к критически важным системным ресурсам, включая физическую память, порты ввода-вывода и специализированные регистры процессора.
Механизм эксплуатации TOCTOU-уязвимости
Исследователи из Cisco Talos обнаружили, что уязвимость основана на классической проблеме Time-of-Check Time-of-Use (TOCTOU) в процессе авторизации. Этот тип атаки эксплуатирует временной промежуток между проверкой условий безопасности и фактическим использованием ресурса.
Алгоритм атаки включает несколько критических этапов. Злоумышленник создает жесткую ссылку от безобидного тестового приложения к доверенному исполняемому файлу AsusCertService.exe. После запуска приложения атакующий приостанавливает его выполнение и модифицирует жесткую ссылку. Когда драйвер выполняет проверку SHA-256 хеша файла, он считывает данные уже измененного доверенного бинарника, позволяя вредоносному коду обойти механизмы авторизации.
Масштаб воздействия и потенциальные последствия
Успешная эксплуатация CVE-2025-3464 предоставляет атакующему привилегии уровня SYSTEM — максимальные права в операционной системе Windows. Это открывает возможности для полной компрометации системы, включая установку руткитов, перехват конфиденциальных данных, модификацию системных файлов и обход средств защиты.
Несмотря на требование предварительного доступа к системе для эксплуатации уязвимости, широкое распространение Armoury Crate среди пользователей игровых компьютеров делает эту проблему особенно актуальной. Злоумышленники могут использовать CVE-2025-3464 как часть многоэтапной атаки для эскалации привилегий после первоначального проникновения в систему.
Затронутые версии и процедура обновления
Первоначально Cisco Talos сообщила о проблеме в версии 5.9.13.0, однако официальный бюллетень безопасности ASUS расширил список уязвимых версий. Уязвимость затрагивает все версии Armoury Crate с 5.9.9.0 по 6.1.18.0 включительно, что значительно увеличивает количество потенциально скомпрометированных систем.
Компания ASUS настоятельно призывает пользователей немедленно обновить программное обеспечение до последней доступной версии. Обновление можно получить через встроенную систему автоматических обновлений Armoury Crate или загрузить непосредственно с официального сайта производителя.
Данный инцидент подчеркивает важность регулярного обновления программного обеспечения и мониторинга уведомлений безопасности от производителей. Пользователям рекомендуется включить автоматические обновления для критически важных системных компонентов и периодически проверять наличие исправлений безопасности для установленного программного обеспечения.
