Podatność w komponencie DeviceIoControl aplikacji ASUS Fan_Xpert (przed wersją 10013) umożliwia atakującemu wykonanie dowolnego kodu poprzez spreparowane żądania IOCTL. Wysoki wynik CVSS 9.8 (CRITICAL) wskazuje na poważne zagrożenie dla systemów Windows z zainstalowanym oprogramowaniem.
▸ Pokaż oryginał (EN)
An issue discovered in the DeviceIoControl component in ASUS Fan_Xpert before v.10013 allows an attacker to execute arbitrary code via crafted IOCTL requests.
Podatność dotyczy nieprawidłowej obsługi żądań IOCTL (Input/Output Control) w sterowniku systemowym powiązanym z komponentem DeviceIoControl aplikacji ASUS Fan_Xpert. Atakujący może wysłać spreparowane żądania IOCTL do sterownika, co prowadzi do wykonania dowolnego kodu. Klasa CWE-782 (Exposed IOCTL with Insufficient Access Control) sugeruje, że sterownik udostępnia niebezpieczne operacje IOCTL bez odpowiedniej weryfikacji uprawnień lub poprawności danych wejściowych.
Skuteczne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnego kodu (RCE) na systemie docelowym, potencjalnie z podwyższonymi uprawnieniami charakterystycznymi dla sterowników jądra systemu Windows. Może to prowadzić do pełnego przejęcia kontroli nad systemem, naruszenia poufności i integralności danych oraz utraty dostępności usług.
Należy zaktualizować aplikację ASUS Fan_Xpert do wersji 10013 lub nowszej. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu lokalnego do systemu dla nieuprawnionych użytkowników oraz monitorowanie operacji IOCTL na hostach z zainstalowanym oprogramowaniem ASUS.
Systemy Windows z zainstalowaną aplikacją ASUS Fan_Xpert w wersji wcześniejszej niż v.10013.
W referencjach wskazano publiczne repozytorium GitHub (DriverHunter/Win-Driver-EXP) zawierające kod exploita dla tej podatności, co zwiększa ryzyko wykorzystania przez osoby o niskich kwalifikacjach technicznych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H