DriverHub는 많은 Asus 마더보드, 노트북 및 데스크톱 PC에 자동으로 설치됩니다. 하지만 다행히도, 해당 취약점은 이미 패치되었습니다.
에이수스(Asus)의 드라이버 허브(DriverHub) 관리 유틸리티에서 심각한 보안 결함이 발견되어, 이 유틸리티가 설치된 시스템에서 누구나 쉽게 악성 코드를 실행할 수 있게 되었습니다. 프로그래머 "MrBruh"가 해당 익스플로잇을 최초 발견했으며, 이를 통해 드라이버 허브가 사용자 인지 없이 어떤 종류의 악성 콘텐츠를 실행하도록 조작(spoof)될 수 있음이 밝혀졌습니다.
이 취약점은 개발사 측의 미흡한 보안 조치에서 기인합니다. 해당 앱은 사전에 정의된 포트로 API 요청에 연결되는데, 오직 "driverhub.asus.com"이라는 핸들만 포함된 어떤 URL이든 허용하기 때문입니다 (예: driverhub.asus.com.mrbruh.com과 같은 URL도 작동 가능).
더욱 심각한 점은, 스푸핑된 URL을 통해 다운로드된 파일은 앱의 서명 검사(signing check)를 통과하지 못했더라도 삭제되지 않는다는 것입니다. 이 점이 공격을 치명적으로 만듭니다. 즉, 공격자로부터 다운로드된 파일이 시스템에 잔존하며 활성화될 수 있기 때문입니다.
한편, 다른 보안 관련 소식으로 보안 연구원에 따르면 AMD 자동 업데이트 프로그램이 소프트웨어를 안전하지 않은 방식으로 다운로드하여 원격 코드 실행(Remote Code Execution)을 가능하게 한다고 합니다.
에이수스는 일련의 9800X3D 오류가 발생함에 따라 800 시리즈 마더보드에 대한 '즉각적인 내부 검토'를 발표했습니다.
"MrBruh"가 시연한 공격 방식에 따르면, 에이수스 드라이버 패키지 내의 "AsusSetup" 실행 파일이 "-s" 플래그를 이용해 무음(silently)으로 실행되는 시뮬레이션 공격이 제시되었습니다. 이 실행 파일의 무음 설치 동작은 드라이버 패키지 내의 ".ini" 파일을 악용합니다. 이 ".ini" 파일은 다시 스푸핑된 URL에서 다운로드된 악성 콘텐츠를 활성화하는 등 임의의 명령을 수행하도록 재작성될 수 있습니다.
긍정적인 소식으로, 에이수스는 드라이버 허브(DriverHub) 유틸리티 업데이트를 통해 이미 이 보안 취약점을 해결했습니다. 에이수스는 4월 18일에 해당 업데이트를 적용했으므로, 드라이버 허브가 설치된 모든 시스템은 4월 18일 업데이트 이후로 안전합니다.
드라이버 허브는 에이수스의 드라이버 관리 도구로, 완전히 독립적으로 백그라운드에서 작동하며, 필요할 때 에이수스 브랜드 또는 에이수스가 탑재된 시스템의 필수 드라이버를 자동으로 설치합니다. 이 도구는 윈도우 초기 설치 시 자동으로 설치되며, 지원되는 에이수스 마더보드의 UEFI/BIOS 내에서 수동으로 활성화하거나 비활성화할 수 있습니다. 드라이버 허브는 에이수스의 주요 유틸리티이며, 독립형 마더보드부터 노트북 및 데스크톱 PC에 이르기까지 광범위한 에이수스 하드웨어에서 사용 가능합니다.