Die Entdeckung einer gravierenden Sicherheitslücke in der vorinstallierten Treiberverwaltung von Asus hat kürzlich in der IT-Community für großes Aufsehen gesorgt. Diese Schwachstelle, die eine One-Click-Remote-Code-Ausführung (RCE) ermöglicht, zeigt auf alarmierende Weise, wie vorinstallierte Systemsoftware, die eigentlich zur Nutzerunterstützung dient, im schlimmsten Fall Angreifern die volle Kontrolle über einen Computer verschaffen kann. Die betroffene Software, bekannt als DriverHub, ist auf zahlreichen Asus-Motherboards und Computern vorinstalliert, was die potenzielle Reichweite und Gefährdung enorm erhöht. DriverHub wird von Asus als praktisches Tool vermarktet, das automatisch veraltete oder fehlende Treiber erkennt und aktualisiert. Es arbeitet dabei als Hintergrundprozess im Betriebssystem und kommuniziert mit einer Asus-Webseite über eine lokale Schnittstelle per RPC (Remote Procedure Call).
Technisch betrachtet hostet DriverHub einen HTTP- oder Websocket-Dienst auf dem lokalen Rechner, der Anfragen von der Webseite akzeptiert und Treiberinstallationen ohne größere Eingriffe des Nutzers ermöglicht. Auf den ersten Blick eine zeitsparende und hilfreiche Lösung. Die Sicherheit dieser Kommunikationsschnittstelle ist dabei entscheidend, da jeder, der diese direkte Verbindung ohne weitere Autorisierung ausnutzen kann, potenziell schädlichen Code einschleusen könnte. Ein Sicherheitsforscher entdeckte, dass DriverHub die empfangenen RPC-Anfragen zwar auf den Ursprung prüft und ausschließlich Anfragen akzeptiert, deren Origin-Header auf „driverhub.asus.
com“ verweist. Diese Überprüfung klingt solide, entpuppte sich jedoch als unzureichend. Denn die Prüfung setzte lediglich auf eine einfache String-Übereinstimmung anstatt einer strikten Herkunftsvalidierung. Dadurch ließ sich eine manipulierte Domain wie „driverhub.asus.
com.mrbruh.com“ als Ursprung deklarieren, was DriverHub auf dem System des Nutzers akzeptierte – eine klassische Form von Subdomänen-Manipulation (Subdomain Takeover). Diese Schwäche ermöglichte es, bösartige Webseiten so zu programmieren, dass sie unbemerkt API-Aufrufe an den lokalen DriverHub-Dienst senden konnten. Die Untersuchungen zeigten, dass DriverHub eine Reihe von Befehlen zur Verfügung stellt, die weitreichende Aktionen erlauben.
Beispielsweise konnten Infos zum System abgerufen, Treiber neu installiert, das System neu gestartet oder Logdateien ausgelesen werden. Besonders riskant war jedoch der Endpunkt UpdateApp, der es erlaubte, Anwendungen und Treiber durch Angabe einer URL herunterzuladen und zu installieren. Hier kam es zu noch größerer Verwundbarkeit, denn die URL-Beschränkung enthielt eine Lücke. DriverHub überprüfte lediglich, ob die URL einen Verweis auf „.asus.
com“ enthielt. Diese Überprüfung war jedoch fehlerhaft umgesetzt. So konnte ein Angreifer eine URL konstruieren, die zwar auf eine fremde Webseite verwies, aber den kritischen String enthielt, etwa „beispiel.com/payload.exe?param=.
asus.com“. DriverHub lud daraufhin die Datei herunter, obwohl sie von einer anderen Quelle stammte. Das scheinbare Sicherheitsmerkmal war also leicht zu umgehen. Erschwerend kam hinzu, dass DriverHub ausführbare Dateien nur auf Gültigkeit des digitalen Asus-Zertifikats prüfte und nur signierte ausführbare Dateien mit Administratorrechten ausführt.
Damit schien eine Remote-Code-Ausführung unmöglich – aber nicht ganz. Der Sicherheitsforscher durchleuchtete den Installationsmechanismus für Treiber und fand heraus, dass die gedownloadeten Dateien nicht sofort gelöscht werden, falls die Signaturprüfung fehlschlägt. Diese Erkenntnis führte letztlich zum entscheidenden Exploit: Die Installation von Asus eigenen Treibern erfolgt oft über ein von Asus signiertes Programm namens AsusSetup.exe, das eine Konfigurationsdatei AsusSetup.ini liest.
In dieser kann definiert werden, welche zusätzliche Datei während der stillen Installation mit der Option „-s“ ausgeführt wird. Der Angreifer konnte so drei Dateien hintereinander über UpdateApp installieren: eine nicht signierte Schadsoftware-Datei (zum Beispiel calc.exe als Proof of Concept), die manipulierte INI-Datei mit dem Befehl, die Schadsoftware auszuführen, sowie letztlich das offiziell signierte AsusSetup.exe. Wird AsusSetup.
exe mit dem Silent-Flag gestartet, liest es die INI-Datei und führt den darin angegebenen Befehl – in diesem Fall die Schadsoftware – ebenfalls mit Administratorrechten aus. Das Ergebnis ist eine Kette von Aktionen, durch die heimlich und mit einzigen Klick von einem manipulierten Webserver beliebiger schädlicher Code auf dem Rechner des Opfers ausgeführt wird – eine eindeutige One-Click Remote Code Execution. Diese Schwachstelle stellt ein enorm hohes Sicherheitsrisiko dar, da sich der Angreifer auf einem Asus-Rechner mit DriverHub vorinstalliert tiefgehenden Zugriff auf das Betriebssystem verschaffen kann. Neben dem Einspielen von Malware lässt sich so auch die komplette Systemkontrolle erlangen, sensible Daten stehlen oder Geräte in Botnetze integrieren. Insbesondere durch die automatische Installation und die ausgeblendeten Aktivitäten ist ein Angriff für Nutzer nicht ohne Weiteres erkennbar.
Nach dem Disclosure der Schwachstelle reagierte Asus vergleichsweise schnell mit einer Behebung. Die Entwickler passten die Validierung der Origin-Headers und URL-Prüfungen an und zogen die Sicherheitsarchitektur nach, um solchen Umgehungen entgegenzuwirken. Dennoch offenbart der gesamte Fall grundlegende Probleme beim Design von OEM-Software, die tief in Basissysteme eingreift, ohne ausreichende Sicherheitsvorkehrungen zu implementieren. Die Risiken von vorinstallierter Software wurden bereits mehrfach diskutiert, doch der Fall von DriverHub zeigt eindrucksvoll, wie fatale Folgen mangelhafte Sicherheitskonzepte haben können. Nutzer sollten sich bewusst sein, dass softwareseitige Treiber-Updates von Herstellerseiten nicht per se ungefährlich sind und künftig verstärkt auf transparente, geprüfte Mechanismen setzen.
Darüber hinaus empfiehlt sich für Nutzer, die vorinstallierte Programme wie DriverHub auf ihren Geräten finden, die Funktion zu deaktivieren oder die Software gegebenenfalls zu deinstallieren, wenn keine durchgängige Sicherheitsgarantie vorliegt. Für Unternehmen und IT-Administratoren gilt es, solche potenziellen Schwachstellen in der Systemumgebung zu erkennen, zu bewerten und durch geeignete Policies abzumildern. Die Veröffentlichung und Dokumentation der Schwachstelle erfolgte durch einen unabhängigen Sicherheitsexperten, der das verantwortungsbewusste Offenlegen vor der breiten Öffentlichkeit favorisiert. Trotz der zunächst massiven Gefährdung scheint es keine Hinweise zu geben, dass die Schwachstelle vor ihrem Bekanntwerden ausgenutzt wurde, ein Glücksfall im Vergleich zu anderen großen Sicherheitsvorfällen. Der Fall Asus DriverHub ist ein mahnendes Beispiel, wie schnell unscheinbare Programme zur Systemverwaltung zum Einfallstor für böswillige Angriffe werden können.
Während Hersteller Sicherheitsschleusen weiterhin verbessern, sollte das Bewusstsein für Risiken vorinstallierter Software bei Nutzern und Unternehmen wachsen und die Überprüfung sowie der Schutz eigener Systeme stets Priorität haben. Nur so lässt sich das digitale Ökosystem sicherer gestalten und vor Angriffen besser schützen.
