ASUS Armoury Crateに深刻な脆弱性、ローカル環境から管理者権限の奪取が可能に(CVE-2025-3464)

セキュリティニュース

投稿日時: 更新日時:

ASUS Armoury Crateに深刻な脆弱性、ローカル環境から管理者権限の奪取が可能に(CVE-2025-3464)

ASUSのPC管理ツール「Armoury Crate」の一部バージョンにおいて、権限チェックの不備を突いた深刻な脆弱性(CVE-2025-3464)が報告されました。報告元はCisco Talos。脆弱性のCVSSスコアは「8.8」で、即時の対応が必要なレベルです。

脆弱性の対象バージョン

今回報告された脆弱性(CVE-2025-3464)の影響を受けるのは、ASUSのArmoury Crate バージョン 5.9.13.0 です。

脆弱性の対処バージョン

ASUSはTalosからの脆弱性報告を受け、2025年6月16日付で修正済みバージョンをリリースしています。

具体的なバージョン番号は公表されていないものの、この日以降に提供されるArmoury Crateのアップデートを適用することで、当該の認証バイパス脆弱性は解消されます。企業内でArmoury Crateを利用している場合は、パッチの適用状況を端末ごとに確認し、未更新の端末は速やかにアップデートを実施することが推奨されます。あわせて、更新後の検証として、ドライバ通信の挙動確認やPoCベースのリスク評価も行っておくと安心です。

問題の中心は「AsIO3.sys」ドライバ

この脆弱性は、Armoury Crateに内包されている AsIO3.sys ドライバに存在しています。デバイス名「\Device\Asusgio3」で提供されるこのドライバは、通常、ASUSの正規サービス「AsusCertService.exe」からのアクセスのみを許可するようSHA-256での整合性チェックが実装されています。

ところが、Talosの調査では、このチェックがハードリンクの操作で容易にすり抜けられることが判明。攻撃者は最初に正規バイナリを指すリンクを用意し、認証後にリンク先を不正な実行ファイルへすり替えることで、非正規プロセスでもデバイスへのアクセスを取得可能にしてしまうという内容です。

問題のドライバにアクセスできてしまうと、以下のような、本来ならカーネル権限でなければ不可能な操作が可能になります

  • 任意の物理メモリ領域を仮想アドレスにマッピング

  • I/Oポートへの直接アクセス

  • CPUのMSR(モデル固有レジスタ)への読み書き

つまり、このドライバを足がかりに、ユーザー権限からカーネル権限へのエスカレーションが成立するということです。PoC(概念実証)もレポート内に具体的に記述されており、悪用も比較的容易と考えられます。

参照

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/team46-and-taxoff-two-sides-of-the-same-coin