Aktuelle Sicherheitslücken

Rogaahl

Elder
interrup

Registered: Feb 2014
Location: K
Posts: 2497

12.05.2025 - 21:34

Und noch ein grund keine ASUS Motherboard zu kaufen (auch wenn ich den Mist so oder so immer als Erstes deaktiviere), schon sehr heavy wie fahrlässig das ist.

MrBruh's Epic Blog

One-Click RCE in ASUS’s Preinstalled Driver Software Introduction This story begins with a conversation about new PC parts.
After ignoring the advice from my friend, I bought a new ASUS motherboard for my PC. I was a little concerned about having a BIOS that would by default silently install software into my OS in the background. But it could be turned off so I figured I would just do that.

Link: mrbruh.com

Wenigstes haben sie es schnell gefixt. Kennt man ja auch anders.

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19849

12.05.2025 - 22:04

tbh, fast jede Software heutzutage schaut so aus und ist so fahrlässig und shitty programmiert.
Fix innerhalb von einem Monat ohne das hier Medien eingeschalten wurden scheinbar ist ja fast schon vorbildlich ...

Ja, die Software war auch das erste das ich abgedreht hab. Sieht eh das erste Mal wenn du ein Asus Board verbaust und dein Windows beim nächsten Boot plötzlich anfängt shit zu installieren > Panic > Auf die Suche nach dem Off Button.

Und ja, furchtbar das sowas by default on ist.

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 3790

13.05.2025 - 09:28

Zitat aus einem Post von daisho
Und ja, furchtbar das sowas by default on ist.

Das ist IMHO das Kernproblem. Nein, ich vertraue keinem Mainboardhersteller mehr mit deren "Software" - seit dem Zeitpunkt seit "Malware" wie Norton 360 laut Defaultsettings mitinstalliert wird (ist seit CD-Zeiten so) wenn man einfach "jo installier einfach mal" klickt.

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25675

14.05.2025 - 07:40

Zitat aus einem Post von daisho
Ja, die Software war auch das erste das ich abgedreht hab. Sieht eh das erste Mal wenn du ein Asus Board verbaust und dein Windows beim nächsten Boot plötzlich anfängt shit zu installieren > Panic > Auf die Suche nach dem Off Button.

Und ja, furchtbar das sowas by default on ist.

Das Auto-Install-Feature finde ich eigentlich praktisch und löst bei mir keine Ängste aus. Diesen Driver Installer hätte ich ja dann mit der Hand ausgeführt. Das Problem ist die Qualität der Software. Speziell wenn es Networking-Features gibt.

Btw, ich kannte diesen Driver Installer gar nicht und mein letztes Motherboard von ASUS ist ein Z790. Muss also recht neu sein.

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 3790

14.05.2025 - 09:11

Zitat aus einem Post von mat
Das Auto-Install-Feature finde ich eigentlich praktisch

Praktisch ist es ja, aber es erlaubt auch nette Man-in-the-middle-Attacken wenn die Sicherheit nicht passt. Noch katastrophaler wars bei Gigabyte, da wurden zig Namen gecheckt ob da was als Installer bereitliegt, via http nicht https, ohne irgendeine Prüfung ob das jetzt eine legite Datei von Gigabyte oder irgendwas ist. Sprich wennst ein Gigabyte-Mainboard mit dem entsprechenden betroffenen Bios hast, stellst im Netzwerk eine NAS mit bestimmten Namen (laut Liste) auf und packst in das Installfile das rein was du gerne möchtest - und das Zeug wird ungeprüft installiert.

Bei Asus hab ich mich jetzt nicht reingelesen wie groß das Scheunentor hier offen ist, aber bei Gigabyte wars halt eklatant weils genau keine Prüfung von irgendwas gibt.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50981

14.05.2025 - 10:24

Ändert es was ob du händisch den Installer runter lädst, ihm Admin Rechte gibst und dann einspielst oder ob der erste Schritt vom UEFI(?) gemacht wird?

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 3790

14.05.2025 - 10:28

Es ändert deshalb was weil der Installer die Dateien ja vom Internet nachlädt und man den Server quasi mit nem anderen Ersetzen kann der dann mit den Adminrechten #gewünschteSoftware installiert.

Edit:

Sprich wennst es selbst von der Gigabyte / Asus Webseite herunterlädst bist du selbst die Kontrollinstanz ob die Datei aus einer echten Quelle kommt. Die Software vertraut einfach einem beliebigem Server der halt den namen gigabyte-ftp.com oder asus-hub.com hat und vom PC aus erreichbar ist. Ob das tatsächlich der Gigabyte / Asus Server ist oder einer der sich dafür ausgibt - zb. erkennbar am fehlenden Webinterface für den Enduser oder "seltsamen Rechtschreibfehlern wie beim typischen Bankenpishing" (jo blödes Beispiel aber das Prinzip sollte klar sein) nun eine Prüfung gibt es in dem Fall einfach nicht.

Da ist der Unterschied bzw. das Problem.

Bearbeitet von Jedimaster am 14.05.2025, 10:33

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50981

14.05.2025 - 10:42

Ich verstehe es nach wie vor nicht.
Wenn ich einen DNS Server bei dir ins Netz stelle der "asus-hub.com" auf eine andere Adresse umbiegt hast du das selbe Problem.

Der Ablauf ist ident, einziger Unterschied ist dass du dich zuerst mal durch die Homepage von Asus kämpfen musst.
Die kann ich aber einfach runter laden und bereitstellen oder nur den Aufruf zum CDN umbiegen.

Mein Pi-hole daheim macht im Grunde nichts anderes

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 3790

14.05.2025 - 10:48

Zitat aus einem Post von Viper780
Wenn ich einen DNS Server bei dir ins Netz stelle der "asus-hub.com" auf eine andere Adresse umbiegt hast du das selbe Problem.

Korrekt, nur dann muss auch das Webinterface/Design von asus-hub.com perfekt passen damit es dich hineinlegt und du überzeugt bist das as die echte Asus-Seite ist, samt SSL Zertifikat das der Browser prüft usw...

Bei Gigabyte zumindest geht das komplett ohne Prüfung und es hat ne recht lange Liste das es sogar lokale Namen und IP's abgrast.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12703

14.05.2025 - 10:52

die komplette Asus website in "gscheit" faken inkl ssl certs usw. ist aber weit schwerer als einen automatisierten http request umbiegen. wenn man sich das antun will könnte man die Treiber wsl sogar über Windows Update beziehen (wär dann wsl ned so aktuell but still)

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14843

14.05.2025 - 12:16

sollte der schas ned signiert sein?

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 3790

14.05.2025 - 12:33

Offenbar nicht weil:

Zitat
Als Schutz gegen Malware sind deshalb beispielsweise sorgfältige Prüfungen der Codesignaturen sowie des Download-Ursprungs wichtig.

Dem neuseeländischen Programmierer "MrBruh" fiel im April 2025 jedoch auf, dass Asus diese Sicherheitsprüfungen unzureichend umgesetzt hat. Dadurch konnte er beliebige Dateien von einem passend benannten Webserver herunterladen und mit Administratorrechten installieren lassen.

https://www.heise.de/news/Kritische...s-10380065.html

Bei Gigabyte war auch alles offen und manipulierbar

https://www.heise.de/news/270-Gigab...OS-9154430.html

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14843

14.05.2025 - 12:36

ich meinte den vektor über die homepage. da müsst sich ja zumindest der windows installer angaxn, wenn da was ohne sig daher kommt

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 11176

14.05.2025 - 12:40

mrbruh. xD

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 3790

14.05.2025 - 13:22

Zitat aus einem Post von semteX
da müsst sich ja zumindest der windows installer angaxn

Der Windows-Installer normalerweise nicht, aber wenn zb. im Windows die App und Browsersteuerung deaktiviert ist und irgendein lustiger AV im Einsatz ist der den MS Defender sagt "lass das Zeug in ruh, ich bin der Antivirus" ists egal.

Abgesehn davon muss es ja nicht von Asus/Gigabyte zertifiziert/signiert sein sondern mit irgendeinem gültigen Zertifikat - und da sind ja noch nie welche abhanden gekommen

Rogaahl Elder interrup Registered: Feb 2014 Location: K Posts: 2497	12.05.2025 - 21:34 Und noch ein grund keine ASUS Motherboard zu kaufen (auch wenn ich den Mist so oder so immer als Erstes deaktiviere), schon sehr heavy wie fahrlässig das ist. MrBruh's Epic Blog One-Click RCE in ASUS’s Preinstalled Driver Software Introduction This story begins with a conversation about new PC parts. After ignoring the advice from my friend, I bought a new ASUS motherboard for my PC. I was a little concerned about having a BIOS that would by default silently install software into my OS in the background. But it could be turned off so I figured I would just do that. Link: mrbruh.com Wenigstes haben sie es schnell gefixt. Kennt man ja auch anders.
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19849	12.05.2025 - 22:04 tbh, fast jede Software heutzutage schaut so aus und ist so fahrlässig und shitty programmiert. Fix innerhalb von einem Monat ohne das hier Medien eingeschalten wurden scheinbar ist ja fast schon vorbildlich ... Ja, die Software war auch das erste das ich abgedreht hab. Sieht eh das erste Mal wenn du ein Asus Board verbaust und dein Windows beim nächsten Boot plötzlich anfängt shit zu installieren > Panic > Auf die Suche nach dem Off Button. Und ja, furchtbar das sowas by default on ist.
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 3790	13.05.2025 - 09:28 Zitat aus einem Post von daisho Und ja, furchtbar das sowas by default on ist. Das ist IMHO das Kernproblem. Nein, ich vertraue keinem Mainboardhersteller mehr mit deren "Software" - seit dem Zeitpunkt seit "Malware" wie Norton 360 laut Defaultsettings mitinstalliert wird (ist seit CD-Zeiten so) wenn man einfach "jo installier einfach mal" klickt.
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25675	14.05.2025 - 07:40 Zitat aus einem Post von daisho Ja, die Software war auch das erste das ich abgedreht hab. Sieht eh das erste Mal wenn du ein Asus Board verbaust und dein Windows beim nächsten Boot plötzlich anfängt shit zu installieren > Panic > Auf die Suche nach dem Off Button. Und ja, furchtbar das sowas by default on ist. Das Auto-Install-Feature finde ich eigentlich praktisch und löst bei mir keine Ängste aus. Diesen Driver Installer hätte ich ja dann mit der Hand ausgeführt. Das Problem ist die Qualität der Software. Speziell wenn es Networking-Features gibt. Btw, ich kannte diesen Driver Installer gar nicht und mein letztes Motherboard von ASUS ist ein Z790. Muss also recht neu sein.
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 3790	14.05.2025 - 09:11 Zitat aus einem Post von mat Das Auto-Install-Feature finde ich eigentlich praktisch Praktisch ist es ja, aber es erlaubt auch nette Man-in-the-middle-Attacken wenn die Sicherheit nicht passt. Noch katastrophaler wars bei Gigabyte, da wurden zig Namen gecheckt ob da was als Installer bereitliegt, via http nicht https, ohne irgendeine Prüfung ob das jetzt eine legite Datei von Gigabyte oder irgendwas ist. Sprich wennst ein Gigabyte-Mainboard mit dem entsprechenden betroffenen Bios hast, stellst im Netzwerk eine NAS mit bestimmten Namen (laut Liste) auf und packst in das Installfile das rein was du gerne möchtest - und das Zeug wird ungeprüft installiert. Bei Asus hab ich mich jetzt nicht reingelesen wie groß das Scheunentor hier offen ist, aber bei Gigabyte wars halt eklatant weils genau keine Prüfung von irgendwas gibt.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50981	14.05.2025 - 10:24 Ändert es was ob du händisch den Installer runter lädst, ihm Admin Rechte gibst und dann einspielst oder ob der erste Schritt vom UEFI(?) gemacht wird?
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 3790	14.05.2025 - 10:28 Es ändert deshalb was weil der Installer die Dateien ja vom Internet nachlädt und man den Server quasi mit nem anderen Ersetzen kann der dann mit den Adminrechten #gewünschteSoftware installiert. Edit: Sprich wennst es selbst von der Gigabyte / Asus Webseite herunterlädst bist du selbst die Kontrollinstanz ob die Datei aus einer echten Quelle kommt. Die Software vertraut einfach einem beliebigem Server der halt den namen gigabyte-ftp.com oder asus-hub.com hat und vom PC aus erreichbar ist. Ob das tatsächlich der Gigabyte / Asus Server ist oder einer der sich dafür ausgibt - zb. erkennbar am fehlenden Webinterface für den Enduser oder "seltsamen Rechtschreibfehlern wie beim typischen Bankenpishing" (jo blödes Beispiel aber das Prinzip sollte klar sein) nun eine Prüfung gibt es in dem Fall einfach nicht. Da ist der Unterschied bzw. das Problem. Bearbeitet von Jedimaster am 14.05.2025, 10:33
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50981	14.05.2025 - 10:42 Ich verstehe es nach wie vor nicht. Wenn ich einen DNS Server bei dir ins Netz stelle der "asus-hub.com" auf eine andere Adresse umbiegt hast du das selbe Problem. Der Ablauf ist ident, einziger Unterschied ist dass du dich zuerst mal durch die Homepage von Asus kämpfen musst. Die kann ich aber einfach runter laden und bereitstellen oder nur den Aufruf zum CDN umbiegen. Mein Pi-hole daheim macht im Grunde nichts anderes
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 3790	14.05.2025 - 10:48 Zitat aus einem Post von Viper780 Wenn ich einen DNS Server bei dir ins Netz stelle der "asus-hub.com" auf eine andere Adresse umbiegt hast du das selbe Problem. Korrekt, nur dann muss auch das Webinterface/Design von asus-hub.com perfekt passen damit es dich hineinlegt und du überzeugt bist das as die echte Asus-Seite ist, samt SSL Zertifikat das der Browser prüft usw... Bei Gigabyte zumindest geht das komplett ohne Prüfung und es hat ne recht lange Liste das es sogar lokale Namen und IP's abgrast.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12703	14.05.2025 - 10:52 die komplette Asus website in "gscheit" faken inkl ssl certs usw. ist aber weit schwerer als einen automatisierten http request umbiegen. wenn man sich das antun will könnte man die Treiber wsl sogar über Windows Update beziehen (wär dann wsl ned so aktuell but still)
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14843	14.05.2025 - 12:16 sollte der schas ned signiert sein?
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 3790	14.05.2025 - 12:33 Offenbar nicht weil: Zitat Als Schutz gegen Malware sind deshalb beispielsweise sorgfältige Prüfungen der Codesignaturen sowie des Download-Ursprungs wichtig. Dem neuseeländischen Programmierer "MrBruh" fiel im April 2025 jedoch auf, dass Asus diese Sicherheitsprüfungen unzureichend umgesetzt hat. Dadurch konnte er beliebige Dateien von einem passend benannten Webserver herunterladen und mit Administratorrechten installieren lassen. https://www.heise.de/news/Kritische...s-10380065.html Bei Gigabyte war auch alles offen und manipulierbar https://www.heise.de/news/270-Gigab...OS-9154430.html
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14843	14.05.2025 - 12:36 ich meinte den vektor über die homepage. da müsst sich ja zumindest der windows installer angaxn, wenn da was ohne sig daher kommt
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 11176	14.05.2025 - 12:40 mrbruh. xD
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 3790	14.05.2025 - 13:22 Zitat aus einem Post von semteX da müsst sich ja zumindest der windows installer angaxn Der Windows-Installer normalerweise nicht, aber wenn zb. im Windows die App und Browsersteuerung deaktiviert ist und irgendein lustiger AV im Einsatz ist der den MS Defender sagt "lass das Zeug in ruh, ich bin der Antivirus" ists egal. Abgesehn davon muss es ja nicht von Asus/Gigabyte zertifiziert/signiert sein sondern mit irgendeinem gültigen Zertifikat - und da sind ja noch nie welche abhanden gekommen

Aktuelle Sicherheitslücken

Forum Index > Software > Applications, Apps & Drivers

Rogaahl

daisho

Jedimaster

mat

Jedimaster

Viper780

Jedimaster

Viper780

Jedimaster

davebastard

semteX

Jedimaster

semteX

sk/\r

Jedimaster