Phân Tích Lỗ Hổng Bảo Mật CVE-2025-3464 Trong ASUS Armoury Crate

17/06/2025
2 mins read
Nội dung
Phân Tích Lỗ Hổng Bảo Mật: CVE-2025-3464 Trong ASUS Armoury Crate
Thông Tin Tổng Quan Về Lỗ Hổng
Phân Tích Kỹ Thuật
Cơ Chế Khai Thác (Exploit)
Ảnh Hưởng
Biện Pháp Khắc Phục (Mitigation)
Thông Tin Dành Cho SOC, TIP Và Incident Response
Kết Luận

Phân Tích Lỗ Hổng Bảo Mật: CVE-2025-3464 Trong ASUS Armoury Crate

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong phần mềm ASUS Armoury Crate, được theo dõi với mã định danh CVE-2025-3464. Lỗ hổng này có thể cho phép tin tặc nâng cao đặc quyền lên mức SYSTEM trên các hệ thống Windows. Bài viết này sẽ cung cấp thông tin chi tiết về lỗ hổng, cơ chế khai thác, và các biện pháp khắc phục.

Thông Tin Tổng Quan Về Lỗ Hổng

  • CVE ID: CVE-2025-3464
  • Điểm Nghiêm Trọng (CVSS): 8.8/10
  • Phần Mềm Bị Ảnh Hưởng: ASUS Armoury Crate
  • Phiên Bản Bị Ảnh Hưởng: Từ v5.9.9.0 đến v6.1.18
  • Hệ Điều Hành Bị Ảnh Hưởng: Windows

Phân Tích Kỹ Thuật

Lỗ hổng xuất phát từ một vấn đề Time-of-check Time-of-use (TOCTOU) trong ASUS Armoury Crate, cụ thể là một điều kiện race condition. Cơ chế xác thực của driver trong phần mềm này sử dụng một giá trị hash SHA-256 được mã hóa cứng của tệp AsusCertService.exe và một danh sách trắng PID (allowlist), thay vì áp dụng các biện pháp kiểm soát truy cập ở cấp độ hệ điều hành. Điều này tạo cơ hội cho kẻ tấn công bỏ qua xác thực và nâng cao đặc quyền.

Cơ Chế Khai Thác (Exploit)

Để khai thác lỗ hổng này, kẻ tấn công có thể thực hiện các bước sau:

  • Tạo một hard link từ một ứng dụng kiểm tra lành tính (benign test app) đến một tệp thực thi giả mạo.
  • Khởi chạy ứng dụng, tạm dừng nó, và sau đó thay đổi hard link để trỏ đến AsusCertService.exe.

Dưới đây là một ví dụ minh họa bằng lệnh CLI:

# Tạo hard link để khai thác lỗ hổng
ln -s /path/to/benign/test/app /path/to/fake/executable
# Khởi chạy ứng dụng, tạm dừng nó, và thay đổi hard link để trỏ đến AsusCertService.exe

Ảnh Hưởng

Lỗ hổng này ảnh hưởng đến các hệ thống Windows chạy phần mềm ASUS Armoury Crate trong các phiên bản từ v5.9.9.0 đến v6.1.18. Nếu bị khai thác, kẻ tấn công có thể giành quyền kiểm soát ở mức SYSTEM, dẫn đến rủi ro nghiêm trọng về bảo mật như cài đặt mã độc, truy cập dữ liệu nhạy cảm hoặc thực hiện các hành vi tấn công khác.

Biện Pháp Khắc Phục (Mitigation)

Để giảm thiểu rủi ro từ lỗ hổng CVE-2025-3464, quản trị viên và người dùng nên thực hiện các biện pháp sau:

  1. Cập Nhật Armoury Crate: Đảm bảo rằng phần mềm Armoury Crate được cập nhật lên phiên bản không bị ảnh hưởng bởi lỗ hổng này.
  2. Vô Hiệu Hóa hoặc Hạn Chế Kernel Driver: Vô hiệu hóa hoặc giới hạn quyền truy cập của kernel driver được sử dụng bởi Armoury Crate để ngăn chặn khai thác.

Thông Tin Dành Cho SOC, TIP Và Incident Response

  • CVE ID: CVE-2025-3464
  • Điểm CVSS: 8.8/10
  • Phần Mềm Bị Ảnh Hưởng: ASUS Armoury Crate (phiên bản v5.9.9.0 đến v6.1.18)
  • Phương Pháp Khai Thác: Tận dụng hard link để vượt qua kiểm tra xác thực.
  • Hành Động Khuyến Nghị: Cập nhật phần mềm và vô hiệu hóa kernel driver nếu cần thiết.

Kết Luận

Lỗ hổng CVE-2025-3464 trong ASUS Armoury Crate là một rủi ro bảo mật nghiêm trọng đòi hỏi sự chú ý ngay lập tức từ các quản trị viên hệ thống và chuyên viên bảo mật. Việc cập nhật phần mềm và áp dụng các biện pháp khắc phục được khuyến nghị sẽ giúp bảo vệ hệ thống khỏi các cuộc tấn công tiềm tàng. Các đội ngũ SOC và Incident Response nên theo dõi chặt chẽ các hoạt động bất thường liên quan đến phần mềm này trên hệ thống của họ.