Программу Armoury Crate от ASUS, предназначенную для управления подсветкой, вентиляцией и производительностью на ПК, обвинили в том, что она оставила миллионы пользователей беззащитными.
Согласно информации, в системе найден критический баг — уязвимость CVE-2025-3464 с высоким рейтингом опасности 8.8 из 10. Через неё злоумышленник может получить доступ уровня SYSTEM — это фактически полный контроль над операционной системой.
Проблема кроется в драйвере AsIO3.sys, который отвечает за низкоуровневое взаимодействие Armoury Crate с аппаратной частью компьютера. Вместо стандартных механизмов контроля доступа Windows, драйвер использует нестабильную схему: сверяет исполняемый файл с жёстко зашитым в коде списком допустимых программ и их хешами. Этим и воспользовался исследователь Marcin "Icewall" Noga из Cisco Talos.
Суть атаки проста, но эффект разрушителен: создаётся безвредное приложение, которое на время связывается с настоящим доверенным файлом AsusCertService.exe через жёсткую ссылку. Драйвер проверяет хеш, считает его безопасным и позволяет приложению делать всё, что угодно — вплоть до чтения памяти, управления портами ввода-вывода и доступа к регистрам процессора.
Важно, что для использования уязвимости злоумышленник должен уже находиться в системе — например, получить доступ через фишинг или вредоносное ПО. Однако глобальное распространение Armoury Crate делает баг весьма привлекательным для атак.
Уязвимость затрагивает версии программы с 5.9.9.0 по 6.1.18.0. ASUS призывает срочно обновить Armoury Crate через меню «Настройки» → «Центр обновлений». Несмотря на то, что случаев эксплуатации CVE-2025-3464 в реальных атаках пока не зафиксировано, эксперты не исключают её активное использование в ближайшем будущем — особенно группировками, занимающимися шпионажем и распространением вымогателей.
Согласно информации, в системе найден критический баг — уязвимость CVE-2025-3464 с высоким рейтингом опасности 8.8 из 10. Через неё злоумышленник может получить доступ уровня SYSTEM — это фактически полный контроль над операционной системой.
Проблема кроется в драйвере AsIO3.sys, который отвечает за низкоуровневое взаимодействие Armoury Crate с аппаратной частью компьютера. Вместо стандартных механизмов контроля доступа Windows, драйвер использует нестабильную схему: сверяет исполняемый файл с жёстко зашитым в коде списком допустимых программ и их хешами. Этим и воспользовался исследователь Marcin "Icewall" Noga из Cisco Talos.
Суть атаки проста, но эффект разрушителен: создаётся безвредное приложение, которое на время связывается с настоящим доверенным файлом AsusCertService.exe через жёсткую ссылку. Драйвер проверяет хеш, считает его безопасным и позволяет приложению делать всё, что угодно — вплоть до чтения памяти, управления портами ввода-вывода и доступа к регистрам процессора.
Важно, что для использования уязвимости злоумышленник должен уже находиться в системе — например, получить доступ через фишинг или вредоносное ПО. Однако глобальное распространение Armoury Crate делает баг весьма привлекательным для атак.
Уязвимость затрагивает версии программы с 5.9.9.0 по 6.1.18.0. ASUS призывает срочно обновить Armoury Crate через меню «Настройки» → «Центр обновлений». Несмотря на то, что случаев эксплуатации CVE-2025-3464 в реальных атаках пока не зафиксировано, эксперты не исключают её активное использование в ближайшем будущем — особенно группировками, занимающимися шпионажем и распространением вымогателей.
