ASUS DriverHub Sorunu
ASUS’un resmi sürücü yönetim aracı olan DriverHub, belirli ASUS anakartları kullanıldığında ilk sistem açılışında otomatik olarak yüklenir. Bu yazılım, tanınan anakart modeli ve yonga seti için en son sürücü sürümlerini sürekli olarak otomatik olarak algılar ve alır. Ancak, DriverHub‘ın çalışması ile ilgili birkaç kritik güvenlik açığı ortaya çıkmıştır.
Yazılım, arka planda çalışarak port 53000 üzerinden önemli sürücü güncellemelerini sürekli kontrol eder. Fakat çoğu kullanıcı, sistemlerinde böyle bir hizmetin sürekli aktif olduğunu bile bilmez. Bu hizmet, HTTP isteklerinin Origin Header‘ını kontrol ederek, driverhub.asus.com dışındaki her şeyi reddetmeye çalışır. Ancak bu kontrol yetersizdir; çünkü bu dizeyi içeren herhangi bir site kabul edilir, bu da kullanıcıları büyük bir riskle karşı karşıya bırakır.
İkinci bir sorun ise UpdateApp uç noktasında yatmaktadır. Bu uç nokta, DriverHub‘ın kullanıcı onayı olmadan ".asus.com" URL’lerinden .exe dosyaları indirmesine ve çalıştırmasına izin verir.
Gizli Saldırı Akışı
Bir saldırgan, sisteminde ASUS DriverHub bulunan kullanıcıları hedef alarak, onları kötü niyetli bir web sitesine yönlendirebilir. Bu site, yerel servise ‘http://127.0.0.1:53000‘ adresine "UpdateApp istekleri" gönderir. Origin Header‘ı ‘driverhub.asus.com.mrbruh.com’ gibi bir şeyle sahteleyerek, yetersiz doğrulama kontrolünü atlatabilir ve DriverHub‘ın komutları kabul etmesini sağlar.
Araştırmacının gösteriminde, komutlar yazılımın ASUS’un indirme portalından meşru bir ASUS imzasına sahip "AsusSetup.exe" yükleyicisini indirmesini ve zararlı bir .ini dosyası ile .exe yük yüklemesini sağlar. ASUS imzalı yükleyici, admin olarak sessizce çalıştırılır ve ini dosyasındaki konfigürasyon bilgilerini kullanır. Bu ini dosyası, meşru ASUS sürücü yükleyicisinin zararlı yürütülebilir dosyayı başlatmasına yönlendirir. Saldırı, yazılımın imza kontrolünü geçemeyen dosyaları silmemesi nedeniyle de mümkündür; bu dosyalar, indirimden sonra ana bilgisayarda tutulur.
ASUS’un Tepkisi ve Kullanıcı Eylemi
ASUS, araştırmacının bildirimlerini 8 Nisan 2025’te aldı ve 18 Nisan’da bir düzeltme uyguladı. Ancak, araştırmacıya herhangi bir ödül teklif edilmedi. Tayvanlı firmanın sunduğu CVE tanımları, yaşanan sorunun ciddiyetini göz ardı eden bir açıklama içeriyor: "Bu sorun sadece anakartlara yöneliktir ve dizüstü bilgisayarlar, masaüstü bilgisayarlar veya diğer uç noktaları etkilemez." Bu açıklama yanıltıcıdır, çünkü belirtilen CVE’ler, DriverHub yüklü dizüstü ve masaüstü bilgisayarları etkilemektedir.
Bununla birlikte, ASUS, güvenlik bülteninde kullanıcıların en son güncellemeyi hızlı bir şekilde uygulamalarını şiddetle tavsiye ediyor. "Bu güncelleme önemli güvenlik güncellemelerini içerir ve ASUS, kullanıcıların ASUS DriverHub kurulumunu en son sürüme güncellemelerini şiddetle önerir" ifadesini kullanıyor. MrBruh, sertifika şeffaflık güncellemelerini takip ettiğini ve "driverhub.asus.com" dizesini içeren başka bir TLS sertifikası bulamadığını belirtiyor, bu da yazılımın siber saldırılarda kullanıma girmediğini gösteriyor.
Eğer arka planda otomatik olarak tehlikeli dosyalar indiren bir hizmetin çalışmasından hoşnut değilseniz, DriverHub‘ı BIOS ayarlarınızdan devre dışı bırakabilirsiniz. Uygulamanın kendisi ve sağladığı menfaatler, kullanıcının güvenlik endişeleri göz önünde bulundurularak dikkatlice değerlendirilmelidir. Kullanıcıların, bu tür hizmetlerin güvenliği hakkında bilgi sahibi olmaları, siber tehditlere karşı daha hazırlıklı olmalarını sağlayacaktır. ASUS’un bu durumu proaktif bir şekilde çözmek için alacağı tedbirler, kullanıcıların güvenliğini sağlayacak önemli adımlardır.
