Wer einen Desktop-PC mit Asus-Mainboard unter Windows betreibt, sollte Updates für die Funktionen "Armoury Crate" und "DriverHub" einspielen. Denn in diesen Funktionen stecken Fehler, die Angreifer missbrauchen können, um Malware ferngesteuert auf dem Rechner zu installieren. Daher ist der Schweregrad der Sicherheitslücken CVE-2025-3462 und CVE-2025-3463 auch als "hoch" beziehungsweise "kritisch" eingestuft.
Updates für "DriverHub" verteilt Asus über diese fehlerhafte Update-Automatik selbst und stellt Armoury Crate in der korrigierten Version v6.1.13 zum Download bereit.
Ärgerlich ist an den Schwachstellen, dass sie ein Konzept nutzen, welches Fachleute seit mehr als zehn Jahren als unsicher kritisieren. Die im UEFI-BIOS verankerte Download-Automatik für Windows-Software wurde schon mehrfach für Angriffe genutzt, unter anderem für die "Lojax"-Attacke mittels UEFI-Rootkit.
Quelle des Übels sind Funktionen von Windows zur automatischen Installation von Software, die im Flash-Speicher des Mainboards für das UEFI-BIOS abgelegt sind.
Der Mainboard-Hersteller packt dazu ausführbare Dateien oder Treiber mit ins BIOS-Image und trägt sie in die Windows Platform Binary Table (WPBT) ein. Diese ACPI-Tabelle (Advanced Configuration and Power Interface) wertet Windows nach dem Booten aus und installiert die dort verknüpfte Software.
Diese Installationsautomatik packt also auch ohne Internetverbindung ausführbare Dateien ins System. Diese werden auch immer wieder neu installiert, selbst wenn man sämtliche Datenträger löscht, überschreibt oder austauscht. Als Schutz gegen Malware sind deshalb beispielsweise sorgfältige Prüfungen der Codesignaturen sowie des Download-Ursprungs wichtig.
Dem neuseeländischen Programmierer "MrBruh" fiel im April 2025 jedoch auf, dass Asus diese Sicherheitsprüfungen unzureichend umgesetzt hat. Dadurch konnte er beliebige Dateien von einem passend benannten Webserver herunterladen und mit Administratorrechten installieren lassen.
Laut MrBruh ist es aber wenig wahrscheinlich, dass die Sicherheitslücke ausgenutzt wurde.
Schon vor dem Umstieg auf UEFI gab es BIOS-Funktionen, um ausführbare Dateien aus dem Flash-Speicher des Mainboards unter Windows zu installieren.
Besonders weitverbreitet war das Antidiebstahl-Tool Computrace der kanadischen Firma AbsoluteSoftware für Notebooks. Seit 2014 ist bekannt, dass die Computrace-Implementierung erhebliche Sicherheitslücken enthielt.
Schon 2015 wurden Schwachstellen in der Lenovo Service Engine für Lenovo-Notebooks bekannt, die ebenfalls die WPBT einbindet.
2018 berichtete Eset, dass auch der Lojax-Angriff solche Funktionen verwendete. Dennoch nutzt Asus seit spätestens 2018 Armoury Crate.
2023 entdeckten Experten von Eclypsium, dass auch Gigabyte vielen Mainboards eine Update-Automatik mit Sicherheitslöchern verpasst hatte.
Ob ein BIOS-Update ausführbare Windows-Dateien oder Treiber enthält, zeigt ein Scan bei Virustotal.com.
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen. Preisvergleiche immer laden
Kommentare