RA2TR
80+ Bronze
- Katılım
- 17 Ocak 2024
- Mesajlar
- 1,402
- Reaksiyon skoru
- 482
ASUS Armoury Crate yazılımındaki yüksek önem derecesine sahip bir güvenlik açığı, tehdit aktörlerinin Windows makinelerde ayrıcalıklarını SYSTEM seviyesine yükseltmelerine izin verebilir.
Güvenlik sorunu CVE-2025-3464 olarak izlenmektedir ve 10 üzerinden 8,8 önem derecesi puanı almıştır.
Yetkilendirmeyi atlamak için istismar edilebilir ve Armoury Crate sistem yönetimi yazılımının AsIO3.sys dosyasını etkiler.
Armoury Crate, ASUS'un Windows için resmi sistem kontrol yazılımıdır ve RGB aydınlatmayı (Aura Sync) kontrol etmek, fan eğrilerini ayarlamak, performans profillerini ve ASUS çevre birimlerini yönetmek, ayrıca sürücüleri ve ürün yazılımı güncellemelerini indirmek için merkezi bir arayüz sağlar.
Tüm bu işlevleri yerine getirmek ve düşük seviyeli sistem izleme sağlamak için yazılım paketi, donanım özelliklerine erişmek ve bunları kontrol etmek için çekirdek sürücüsünü kullanıyor.
Cisco Talos'un araştırmacısı Marcin "Icewall" Noga CVE-2025-3464'ü teknoloji şirketine bildirdi.
Talos danışmanlığına göre sorun, sürücünün uygun işletim sistemi düzeyinde erişim kontrolleri kullanmak yerine, AsusCertService.exe'nin sabit kodlanmış SHA-256 karmasına ve bir PID izin listesine dayalı olarak arayanları doğrulamasında yatmaktadır.
Açıktan faydalanmak için iyi huylu bir test uygulamasından sahte bir çalıştırılabilir dosyaya sabit bir bağlantı oluşturmak gerekiyor. Saldırgan uygulamayı başlatıyor, duraklatıyor ve ardından sabit bağlantıyı AsusCertService.exe dosyasını gösterecek şekilde değiştiriyor.
Sürücü dosyanın SHA-256 karmasını kontrol ettiğinde, artık bağlantılı olan güvenilir ikiliyi okuyarak test uygulamasının yetkilendirmeyi atlamasına ve sürücüye erişim kazanmasına izin verir.
Bu, saldırgana düşük seviyeli sistem ayrıcalıkları vererek fiziksel belleğe, G/Ç bağlantı noktalarına ve modele özgü kayıtlara (MSR'ler) doğrudan erişim sağlar ve işletim sisteminin tamamen ele geçirilmesine giden yolu açar.
CVE-2025-3464'ten faydalanmak için saldırganın halihazırda sistemde olması (kötü amaçlı yazılım bulaşması, kimlik avı, güvenliği ihlal edilmiş ayrıcalıksız hesap) gerektiğini unutmamak önemlidir.
Bununla birlikte, yazılımın dünya çapındaki bilgisayarlarda yaygın olarak kullanılması, istismarın cazip hale gelmesi için yeterince büyük bir saldırı yüzeyini temsil edebilir.
Cisco Talos, CVE-2025-3464'ün Armoury Crate'in 5.9.13.0 sürümünü etkilediğini doğrulamıştır, ancak ASUS'un bülteninde bu açığın 5.9.9.0 ile 6.1.18.0 arasındaki tüm sürümleri etkilediği belirtilmektedir.
Güvenlik sorununu hafifletmek için Armoury Crate uygulamasını açıp "Ayarlar"> "Güncelleme Merkezi"> "Güncellemeleri Kontrol Et"> "Güncelle" yolunu izleyerek en son güncellemeyi uygulamanız tavsiye edilir.
Cisco, söz konusu açığı Şubat ayında ASUS'a bildirmiş ancak şu ana kadar herhangi bir istismar vakasına rastlanmamıştır. Bununla birlikte, "ASUS, kullanıcıların Armoury Crate kurulumlarını en son sürüme güncellemelerini şiddetle tavsiye etmektedir."
Yerel ayrıcalık artışına yol açan Windows çekirdek sürücüsü hataları, fidye yazılımı aktörleri, kötü amaçlı yazılım operasyonları ve devlet kurumlarına yönelik tehditler de dahil olmak üzere bilgisayar korsanları arasında popülerdir.
k: https://www.bleepingcomputer.com/ne...-lets-attackers-get-windows-admin-privileges/
Güvenlik sorunu CVE-2025-3464 olarak izlenmektedir ve 10 üzerinden 8,8 önem derecesi puanı almıştır.
Yetkilendirmeyi atlamak için istismar edilebilir ve Armoury Crate sistem yönetimi yazılımının AsIO3.sys dosyasını etkiler.
Armoury Crate, ASUS'un Windows için resmi sistem kontrol yazılımıdır ve RGB aydınlatmayı (Aura Sync) kontrol etmek, fan eğrilerini ayarlamak, performans profillerini ve ASUS çevre birimlerini yönetmek, ayrıca sürücüleri ve ürün yazılımı güncellemelerini indirmek için merkezi bir arayüz sağlar.
Tüm bu işlevleri yerine getirmek ve düşük seviyeli sistem izleme sağlamak için yazılım paketi, donanım özelliklerine erişmek ve bunları kontrol etmek için çekirdek sürücüsünü kullanıyor.
Cisco Talos'un araştırmacısı Marcin "Icewall" Noga CVE-2025-3464'ü teknoloji şirketine bildirdi.
Talos danışmanlığına göre sorun, sürücünün uygun işletim sistemi düzeyinde erişim kontrolleri kullanmak yerine, AsusCertService.exe'nin sabit kodlanmış SHA-256 karmasına ve bir PID izin listesine dayalı olarak arayanları doğrulamasında yatmaktadır.
Açıktan faydalanmak için iyi huylu bir test uygulamasından sahte bir çalıştırılabilir dosyaya sabit bir bağlantı oluşturmak gerekiyor. Saldırgan uygulamayı başlatıyor, duraklatıyor ve ardından sabit bağlantıyı AsusCertService.exe dosyasını gösterecek şekilde değiştiriyor.
Sürücü dosyanın SHA-256 karmasını kontrol ettiğinde, artık bağlantılı olan güvenilir ikiliyi okuyarak test uygulamasının yetkilendirmeyi atlamasına ve sürücüye erişim kazanmasına izin verir.
Bu, saldırgana düşük seviyeli sistem ayrıcalıkları vererek fiziksel belleğe, G/Ç bağlantı noktalarına ve modele özgü kayıtlara (MSR'ler) doğrudan erişim sağlar ve işletim sisteminin tamamen ele geçirilmesine giden yolu açar.
CVE-2025-3464'ten faydalanmak için saldırganın halihazırda sistemde olması (kötü amaçlı yazılım bulaşması, kimlik avı, güvenliği ihlal edilmiş ayrıcalıksız hesap) gerektiğini unutmamak önemlidir.
Bununla birlikte, yazılımın dünya çapındaki bilgisayarlarda yaygın olarak kullanılması, istismarın cazip hale gelmesi için yeterince büyük bir saldırı yüzeyini temsil edebilir.
Cisco Talos, CVE-2025-3464'ün Armoury Crate'in 5.9.13.0 sürümünü etkilediğini doğrulamıştır, ancak ASUS'un bülteninde bu açığın 5.9.9.0 ile 6.1.18.0 arasındaki tüm sürümleri etkilediği belirtilmektedir.
Güvenlik sorununu hafifletmek için Armoury Crate uygulamasını açıp "Ayarlar"> "Güncelleme Merkezi"> "Güncellemeleri Kontrol Et"> "Güncelle" yolunu izleyerek en son güncellemeyi uygulamanız tavsiye edilir.
Cisco, söz konusu açığı Şubat ayında ASUS'a bildirmiş ancak şu ana kadar herhangi bir istismar vakasına rastlanmamıştır. Bununla birlikte, "ASUS, kullanıcıların Armoury Crate kurulumlarını en son sürüme güncellemelerini şiddetle tavsiye etmektedir."
Yerel ayrıcalık artışına yol açan Windows çekirdek sürücüsü hataları, fidye yazılımı aktörleri, kötü amaçlı yazılım operasyonları ve devlet kurumlarına yönelik tehditler de dahil olmak üzere bilgisayar korsanları arasında popülerdir.
k: https://www.bleepingcomputer.com/ne...-lets-attackers-get-windows-admin-privileges/
