華碩 DriverHub 驚爆遠端程式碼執行漏洞 攻擊者可透過惡意網站一鍵入侵

華碩(ASUS) 於 5 月 9 日發布 DriverHub 驅動程式管理工具的緊急安全更新，修補兩個可被攻擊者用於遠端程式碼執行的嚴重漏洞。這起事件涉及複雜的攻擊鏈，攻擊者僅需誘導用戶訪問惡意網站即可完全控制目標系統。

漏洞詳情與技術分析

安全研究員 MrBruh 發現 DriverHub 存在兩項重大缺陷。第一項漏洞 CVE-2025-3462（CVSS 8.4）為 Origin Header 驗證錯誤，該服務僅檢查 Origin Header 是否包含 "driverhub.asus.com" 字串，未執行完全比對，導致 "driverhub.asus.com.evil.com" 等惡意網域可繞過檢驗。DriverHub 在 Port 53000 持續監聽，接受來自瀏覽器的 HTTP 請求，這擴大了攻擊面。

第二項漏洞 CVE-2025-3463（CVSS 9.4）涉及不當憑證驗證，UpdateApp 端點允許下載並執行來自 ".asus.com" 網域的 .exe 檔案，且未經用戶確認即自動執行下載的執行檔。更嚴重的是，簽章驗證失敗的檔案未被清除，殘留在系統中供攻擊者利用。

攻擊鏈技術剖析

攻擊流程分為四個核心階段。首先是 Origin 偽造，攻擊者註冊包含 "driverhub.asus.com" 的惡意網域，在 HTTP 請求中設定 Origin 為 "driverhub.asus.com.malicious.example.com"，成功繞過驗證機制。

接著進入檔案投放階段，攻擊者在惡意網域託管三個關鍵檔案：AsusSetup.exe（合法的 ASUS 簽章安裝程式）、經修改的 AsusSetup.ini 設定檔，以及最終執行的惡意酬載 payload.exe。

第三階段的關鍵在於惡意 ini 檔案的設計。攻擊者修改設定檔中的 SilentInstallRun 參數，設定為 "cmd.exe /c 'malicious_payload.exe'"。當 AsusSetup.exe 以 -s 參數執行時，會自動執行該屬性指定的程式。

最終階段實現權限提升，由於 DriverHub 以系統管理員權限運行，透過 -s 參數觸發的 SilentInstallRun 同樣獲得管理員權限，成功實現提權攻擊。

深度攻擊流程解析

具體攻擊流程始於用戶訪問惡意網站，瀏覽器載入包含惡意 JavaScript 的頁面後，會發送 UpdateApp 請求至本地的 Port 53000。該請求使用偽造的 Origin Header "driverhub.asus.com.evil.com"，並指定從攻擊者控制的網域下載檔案包。

DriverHub 接收請求後開始下載指定檔案，包含合法的 AsusSetup.exe 和惡意的設定檔案。下載完成後，AsusSetup.exe 被自動執行，程式讀取 ini 設定檔，發現 SilentInstallRun 參數後，以系統管理員權限執行攻擊者指定的惡意程式。

影響範圍與風險評估

此漏洞影響範圍廣泛，因為 ASUS 主機板首次開機時會自動安裝 DriverHub，多數使用者並不知情這項服務的存在。Port 53000 服務持續在背景運行，不斷檢查重要驅動更新，這擴大了攻擊時間窗口。更危險的是，攻擊利用合法的 ASUS 簽章程式執行，具有高度隱蔽性，難以被傳統防毒軟體偵測。

研究人員透過監控 Certificate Transparency 日誌，確認未發現包含 "driverhub.asus.com" 的其他 TLS 憑證，表明此漏洞目前未被惡意利用。不過，這種攻擊手法的技術門檻相對較低，僅需註冊包含特定字串的網域並托管三個檔案即可實現。

ASUS 回應與修補時程

ASUS 在接獲漏洞報告後反應迅速，4 月 8 日研究人員主動揭露漏洞，4 月 17 日完成漏洞驗證，4 月 18 日修補程式開發完成，最終於 5 月 9 日正式發布安全更新。儘管修補速度尚可接受，但 ASUS 未對發現漏洞的研究人員提供任何漏洞獎賞。

值得注意的是，ASUS 在 CVE 描述中表示「此問題僅限於主機板，不影響筆記型電腦、桌上型電腦或其他終端設備」，但這個說法令人困惑，因為這些漏洞確實影響安裝了 DriverHub 的筆記型電腦和桌上型電腦。

防護建議與緩解措施

用戶應立即採取行動更新軟體，開啟 ASUS DriverHub 並點擊「Update Now」按鈕，確認版本號已更新至最新。若不確定背景服務自動下載檔案，可在 BIOS 設定中停用 DriverHub 功能，路徑為系統設定 → Advanced → Windows OS Configuration → Windows BIOS Support → DriverHub → Disabled。

企業用戶應考慮部署 WebAPI 監控工具，用於偵測異常的本地端口訪問行為。建立白名單機制，限制可觸發 DriverHub 的網域範圍，並實施程式碼簽章驗證，拒絕執行未簽章或驗證失敗的檔案。

此次事件突顯了本地服務與瀏覽器互動的安全挑戰，特別是 Origin 驗證機制的重要性。單純依賴字串包含檢查而非完全比對，為攻擊者留下可乘之機。開發者應了解，Origin Header 僅用於 CORS 政策執行，不應作為安全驗證的唯一依據。

未來類似應用應採用更嚴格的驗證方式，如實施 CSRF Token 機制、API Key 認證或建立加密通道進行通訊。此外，執行任何用戶授權的操作前，應要求明確的用戶確認，避免靜默執行可能帶來的安全風險。這起事件為整個產業敲響警鐘，提醒開發者在設計本地服務時，必須充分考慮來自 Web 應用的潛在威脅。