Vulnerabilità nascosta nelle schede madri Asus svelata da un programmatore neozelandese

Un programmatore neozelandese, Paul, ha scoperto casualmente una grave vulnerabilità nelle schede madri Asus legata al software DriverHub, un servizio che facilita l’installazione automatica dei driver. Questa funzione, abilitata di default nel BIOS, si manifesta sotto forma di un piccolo server web locale che ascolta sulla porta 53000 e consente la comunicazione tramite Remote Procedure Call (RPC) con pagine web specifiche. L’intento era agevolare gli utenti aggiornando driver e utility Asus senza interferenze, ma questa architettura ha esposto una superficie di attacco significativa qualora i controlli di autenticazione e autorizzazione fossero insufficienti. Paul, dopo aver ignorato il suo scetticismo iniziale ed aver installato la scheda madre Asus, notò come la funzionalità si attivasse automaticamente e, una volta entrato in Windows, ricevette una richiesta di installazione per DriverHub. Da quel momento iniziò ad approfondire il comportamento di questo server locale, trovando indizi che suggerivano potenziali falle di sicurezza.

Come DriverHub espone il sistema a rischio e il meccanismo di bypass della sicurezza

DriverHub opera lanciando un server web locale accessibile soltanto all’indirizzo 127.0.0.1 sulla porta 53000, il quale accetta comandi provenienti da pagine web ospitate presumibilmente sul dominio ufficiale driverhub.asus.com. Tuttavia, il controllo implementato per filtrare le richieste in base all’header HTTP “Origin” è risultato essere superficiale: non viene eseguito un confronto esatto, ma una verifica di inclusione della stringa “driverhub.asus.com”, aprendo così la porta a qualunque dominio che contenga questa sequenza testuale. Un attaccante potrebbe registrare domini fittizi come driverhub.asus.com.miosito.com e indurre l’utente a visitarli, così da inviare comandi malevoli al server locale di DriverHub. Questa debolezza ha potenzialmente consentito di aggirare la protezione CSRF, permettendo l’iniezione di richieste sensibili. Lo sviluppatore ha inoltre scoperto che DriverHub espone numerosi endpoint RPC con funzioni critiche, tra cui la raccolta di dati sull’hardware, riavvii forzati e soprattutto aggiornamenti di applicazioni tramite download ed esecuzione di file da URL esterni.

Catena di attacco e l’elevato rischio di esecuzione di codice remoto tramite file non eliminati

Uno dei punti cruciali della vulnerabilità risiede nella funzione UpdateApp, che accetta URL contenenti la stringa “.asus.com” in modo permissivo, permettendo a link manipolati di eludere la validazione. Anche se viene eseguito solo codice firmato digitalmente da Asus, i file non firmati scaricati non vengono eliminati ma conservati nella cartella di download. Qui entra in gioco la modalità silenziosa di AsusSetup.exe, componente chiave per l’installazione automatica dei driver, che legge e applica istruzioni da un file AsusSetup.ini locale. Attraverso la manipolazione di questo file, un attaccante può inserire comandi arbitrari da eseguire con privilegi di amministratore. In ultima analisi, una sequenza di richieste inviate da un sito malevolo in un dominio appositamente costruito può scaricare un eseguibile dannoso, un file .ini maligno e il programma firmato Asus in modo da utilizzare il file di configurazione alterato per lanciare codice arbitrario con privilegi elevati.

La risposta di Asus, il riconoscimento limitato e le implicazioni per gli integratori di sistema

La segnalazione è stata inviata il 7 aprile, Asus ha agito rapidamente e rilasciato la patch entro il 18 aprile, pubblicando due CVE con punteggi CVSS molto elevati (8.4 e 9.4). Nonostante la gravità critica, Asus ha minimizzato la descrizione della vulnerabilità senza offrire una ricompensa, dato l’assenza di un programma bug bounty ufficiale. La falla interessa qualsiasi dispositivo desktop o laptop dotato di DriverHub, oltre alle schede madri cui inizialmente era associata. Per specialisti IT e system integrator questa vicenda rappresenta una chiara chiamata a rafforzare le procedure di sicurezza su software preinstallati e automatismi BIOS, oltre a sottolineare l’importanza di audit accurati su servizi che espongono API locali. Disporre di sistemi di controllo rigorosi e monitoraggio a livello di rete può prevenire exploit tramite l’abuso di meccanismi apparentemente utili ma potenzialmente pericolosi se mal configurati.