Asus Armory Crateで重要な脆弱性が発見されており、攻撃者がWindowsオペレーティングシステムのシステムレベルに特権をエスカレートできるようになりました。 CVE-2025-3464と特定された脆弱性には、10のうち8.8の重大度スコアが割り当てられています。
欠陥は、Asio3.Sysドライバー、Armory Crate Software Suiteのコンポーネントであり、ASUSデバイスの管理、RGB照明の制御、ファン曲線の調整、更新のダウンロードのための集中インターフェイスを提供します。この脆弱性により、攻撃者は許可メカニズムをバイパスし、低レベルのシステム特権を獲得できます。
Cisco Talosの研究者であるMarcin“ Icewall” Nogaは、Asusに対する脆弱性を報告しました。 Cisco Talosのアドバイザリーによると、脆弱性は、ドライバーの発信者の不適切な検証に起因しています。標準のOSレベルのアクセスコントロールを使用する代わりに、ドライバーは、asuscertservice.exeのハードコーディングされたSHA-256ハッシュとPID AllowListに依存しています。
脆弱性の悪用には、良性のアプリケーションから偽の実行可能ファイルへのハードリンクを作成することが含まれます。その後、攻撃者はアプリケーションを起動し、一時停止し、ハードリンクを交換してAsuscertService.exeを指すようにします。これにより、攻撃者は、ドライバーがファイルのSHA-256ハッシュをチェックするときに許可をバイパスし、ドライバーにアクセスできます。
搾取の成功は、攻撃者の低レベルシステム特権を与え、物理メモリ、I/Oポート、およびモデル固有のレジスタ(MSR)への直接アクセスを提供します。これにより、オペレーティングシステムが完全に妥協する可能性があります。
攻撃者は、CVE-2025-3464を活用するために既存のシステムアクセスを必要とすることに注意することが重要です。つまり、マルウェア感染、フィッシング、または侵害されたアカウントなどの方法を介して、ターゲットシステムに既に足場を持っている必要があります。ただし、Armory Crateの広範な展開により、魅力的なターゲットになります。
Cisco Talosは、Armory Crateバージョン5.9.13.0の脆弱性を検証しました。 ASUSは、脆弱性がバージョン5.9.9.0から6.1.18.0に影響すると述べています。
推奨される緩和は、Armory Crateを最新バージョンに更新することです。ユーザーは、Armory Crateアプリを開いて「設定」>「更新センター」に移動して、「更新の確認」>「更新」に移動することで更新できます。
シスコは、2月にASUSに対する脆弱性を報告しました。現在、野生で脆弱性が悪用されているという報告はありません。それにもかかわらず、ASUSは、システムを保護するために、Armory Crateのインストールを最新バージョンに更新するようユーザーに強く勧めています。
