Une vulnérabilité critique dans le logiciel ASUS Armoury Crate permet à un attaquant local d’obtenir des privilèges administrateur sous Windows sans le consentement de l’utilisateur. Si votre entreprise utilise du matériel ASUS, cette faille pourrait exposer vos endpoints à des attaques d’élévation de privilèges. Voici comment cette vulnérabilité fonctionne, comment elle peut être exploitée, et ce que vous devez faire maintenant.
Qu’est-ce qu’Armoury Crate ?
ASUS Armoury Crate est un utilitaire de gestion système préinstallé sur de nombreux ordinateurs ASUS. Il sert à gérer les mises à jour du firmware, les paramètres matériels et le contrôle de l’éclairage RGB. Mais son intégration profonde dans le système en fait une cible privilégiée pour les attaquants.
Des chercheurs en cybersécurité ont découvert que le logiciel exploite mal un service doté de privilèges SYSTEM, permettant à des utilisateurs non-administrateurs d’exécuter des processus avec des droits élevés. Cette faille de conception ouvre la voie à une compromission complète du système.
Comment fonctionne la vulnérabilité
Le cœur du problème réside dans le fonctionnement du fichier AsusCertService.exe, qui exécute des fichiers depuis un répertoire accessible en écriture (C:\ProgramData\ASUS\ARMOURY CRATE Service) avec les droits SYSTEM. Un attaquant peut procéder ainsi :
-
Déposer un exécutable malveillant dans ce répertoire
-
Redémarrer le service ASUS ou l’ordinateur
-
Le service exécute le fichier avec les droits SYSTEM
Les chercheurs ont renommé l’outil légitime PsExec en AsusUpdate.exe, l’ont placé dans le dossier vulnérable, puis l’ont exécuté via le service. Résultat : un accès administrateur total, sans déclencher d’alerte de sécurité.
Pourquoi cette élévation de privilège est critique
Un accès SYSTEM donne un contrôle total sur la machine : modification du registre, extraction de mots de passe, installation de rootkits, désactivation de l’antivirus. En environnement professionnel, cela permet de se déplacer latéralement vers les contrôleurs de domaine et de contourner la segmentation réseau.
Contrairement aux attaques à distance, les élévations de privilèges locales sont souvent négligées. Pourtant, elles sont largement utilisées en post-exploitation, une fois qu’un compte utilisateur a été compromis via phishing ou credential stuffing.
Mesures à prendre pour les équipes IT et sécurité
ASUS n’a pas encore publié de correctif. En attendant, voici les actions recommandées :
-
Désinstaller ou désactiver Armoury Crate sur les postes professionnels si son usage n’est pas indispensable
-
Restreindre l’accès en écriture au dossier vulnérable
-
Surveiller l’exécution de PsExec ou d’exécutables inconnus depuis le dossier Armoury Crate
-
Mettre en place du whitelisting applicatif et des outils EDR pour bloquer les exécutions non autorisées
Les entreprises avec une maturité cyber avancée devraient renforcer la détection via des outils EDR/XDR et intégrer de la Threat Intelligence.
Besoin d’aide pour renforcer vos défenses ? Consultez nos services de cybersécurité pour savoir comment nous pouvons protéger votre infrastructure.
Le vrai problème : hygiène des privilèges déficiente
Ce cas révèle un problème récurrent : des outils OEM trop puissants avec peu de contrôles. Qu’il s’agisse de Lenovo, Dell ou ASUS, ces utilitaires embarqués représentent un risque inutile.
Les éditeurs doivent adopter une logique de moindre privilège, même pour leurs propres logiciels. Les chercheurs en sécurité et red teams identifient souvent ces failles bien avant le grand public. En tant que défenseurs, nous devons corriger les processus, pas seulement les logiciels.
La faille Armoury Crate est un exemple classique d’élévation de privilège locale capable de compromettre une architecture entière. Si votre organisation utilise du matériel ASUS, prenez les mesures nécessaires sans attendre.
Et si vous ne savez pas par où commencer, ZENDATA peut vous aider à évaluer et sécuriser votre environnement.
Lisez l’article complet de Bleeping Computer ici.
