ASUS Armoury Crate 소프트웨어에는 고위험 취약점이 있어, 위협 요소가 Windows 기계에서 자신의 권한을 SYSTEM 수준으로 상승시킬 수 있습니다. 이 보안 문제는 CVE-2025-3464로 추적되며, 10점 만점에 8.8점의 심각도 점수를 받았습니다. 이는 인증을 우회하여 악용될 수 있으며, Armoury Crate 시스템 관리 소프트웨어의 AsIO3.sys에 영향을 미칩니다. Armoury Crate는 ASUS의 공식 시스템 제어 소프트웨어로, RGB 조명(Aura Sync)을 제어하고, 팬 곡선을 조정하고, 성능 프로파일과 ASUS 주변기기를 관리하며, 드라이버와 펌웨어 업데이트를 다운로드하는 중앙 집중식 인터페이스를 제공합니다.
Cisco Talos의 연구원 Marcin "Icewall" Noga가 이 문제를 기술 회사에 보고했습니다. Talos 자문에 따르면, 이 문제는 드라이버가 AsusCertService.exe의 하드코딩된 SHA-256 해시와 PID 허용 목록을 기반으로 호출자를 검증하는 것에 있습니다. 적절한 OS 수준 접근 제어를 사용하는 대신, 이 취약점을 악용하는 것은 친숙한 테스트 앱에서 가짜 실행 파일로 하드 링크를 생성하는 것을 포함합니다. 공격자는 앱을 실행하고 일시 중지한 다음, 하드 링크를 AsusCertService.exe를 가리키도록 바꿉니다. 드라이버가 파일의 SHA-256 해시를 확인하면, 이제 연결된 신뢰할 수 있는 바이너리를 읽어, 테스트 앱이 인증을 우회하고 드라이버에 접근할 수 있게 합니다. 이로 인해 공격자는 저수준 시스템 권한을 얻게 되어, 물리적 메모리, I/O 포트, 모델 특정 레지스터(MSR)에 직접 접근할 수 있게 되며, 이는 전체 OS 침해로 이어질 수 있습니다.
CVE-2025-3464를 악용하려면 공격자가 이미 시스템에 있어야 합니다. 그러나 전 세계 컴퓨터에 이 소프트웨어가 널리 배포되어 있어, 악용이 매력적으로 보일 만큼의 충분히 큰 공격 표면을 제공할 수 있습니다. Cisco Talos는 CVE-2025-3464가 Armoury Crate 버전 5.9.13.0에 영향을 미친다는 것을 확인했지만, ASUS의 공지는 이 결함이 5.9.9.0에서 6.1.18.0 사이의 모든 버전에 영향을 미친다고 주장합니다. 이 보안 문제를 완화하기 위해, Armoury Crate 앱을 열고 "설정"> "업데이트 센터"> "업데이트 확인"> "업데이트"로 가서 최신 업데이트를 적용하는 것이 권장됩니다. Cisco는 2월에 ASUS에 이 결함을 보고했지만, 아직까지 실제로 악용은 관찰되지 않았습니다. 그러나 "ASUS는 사용자들이 Armoury Crate 설치를 최신 버전으로 업데이트하도록 강력히 권장한다."고 언급했습니다.
요약
- ASUS Armoury Crate 소프트웨어에 고위험 취약점이 발견되어, 이를 악용하면 Windows 기계에서 권한을 상승시킬 수 있다.
- 이 취약점은 인증을 우회하여 악용될 수 있으며, Armoury Crate 시스템 관리 소프트웨어의 AsIO3.sys에 영향을 미친다.
- 공격자는 저수준 시스템 권한을 얻게 되어, 물리적 메모리, I/O 포트, 모델 특정 레지스터(MSR)에 직접 접근할 수 있게 된다.
- 이 취약점을 악용하려면 공격자가 이미 시스템에 있어야 하며, 전 세계 컴퓨터에 이 소프트웨어가 널리 배포되어 있어 악용이 가능하다.
- ASUS는 사용자들이 Armoury Crate 설치를 최신 버전으로 업데이트하도록 강력히 권장한다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.