ASUS DriverHub Açığı, Kötü Niyetli Sitelerin Yönetici Yetkisiyle Komut Çalıştırmasına Yol Açtı

ASUS’un sürücü yönetim aracı DriverHub’da tespit edilen güvenlik açığı, saldırganların kötü niyetli internet siteleri üzerinden sistemde yönetici yetkisiyle komut çalıştırabilmesine olanak tanıdı.

DriverHub Güvenlik Açığı Nasıl Çalışıyor?

Yeni Zelanda merkezli bağımsız bir siber güvenlik araştırmacısı olan Paul (takma adıyla “MrBruh”), ASUS DriverHub yazılımında kritik düzeyde bir güvenlik açığı tespit etti. Araştırmacı, bu yazılımın arka planda çalışan servisinin gelen komutları yeterince doğrulamadığını belirledi.

DriverHub, belirli ASUS anakartlarla sistem ilk kez başlatıldığında otomatik olarak yükleniyor. Bu yazılım, anakarta özel sürücüleri güncel tutmak amacıyla arka planda sürekli çalışıyor ve yerel ağda 53000 numaralı port üzerinden hizmet veriyor. Ancak bu hizmetin çoğu kullanıcı tarafından bilinmediği ifade ediliyor.

Yazılım, dış bağlantılarda sadece driverhub.asus.com adresinden gelen komutlara izin verecek şekilde tasarlandı. Fakat yapılan testlerde bu kontrolün çok zayıf olduğu görüldü. Saldırganlar, sahte bir Origin Header (örn. driverhub.asus.com.mrbruh.com) kullanarak bu kontrolü aşabildi.

Kötü Niyetli Yazılım, Sistemde Yönetici Yetkisiyle Çalıştırılıyor

DriverHub üzerindeki bir başka zafiyet ise “UpdateApp” adlı uç noktada bulundu. Bu uç nokta, .asus.com alan adından gelen .exe dosyalarını kullanıcı onayı olmadan indirip çalıştırabiliyor. Araştırmacı, bu zaafiyetleri birleştirerek oluşturduğu istismar zincirinde, ASUS imzası taşıyan yasal bir kurulum dosyasını indirtti. Bu kurulum dosyasına eklenen özel bir .ini dosyası aracılığıyla zararlı bir yazılım da sistemde yönetici yetkisiyle çalıştırıldı.

Yazılımın imza kontrolü başarısız olan dosyaları silmemesi de saldırının tamamlanmasına olanak sağladı. Saldırgan, zararlı yazılımla birlikte .ini dosyasını da sisteme yükleyebildi ve bu dosya sistemde kalmaya devam etti.

Araştırmacı, bulgularını ASUS’a 8 Nisan 2025 tarihinde bildirdi. ASUS, 18 Nisan’da açığı doğrulayıp yazılımı güncelledi. Şirket, bu önemli güncellemeyi ASUS DriverHub kullanıcılarının acilen yüklemesini önerdi. Güncelleme, DriverHub arayüzündeki “Şimdi Güncelle” butonuyla erişilebiliyor. ASUS, yayınladığı güvenlik bülteninde bu açığın yalnızca anakartları etkilediğini belirtse de araştırmacı, aynı yazılımın masaüstü ve dizüstü sistemlerde de çalıştığını vurguladı.

Kullanıcılar, bu tür otomatik çalışan servislerin potansiyel risklerinden endişe duyuyorsa DriverHub uygulamasını BIOS ayarları üzerinden devre dışı bırakabilir.