Eine schwerwiegende Sicherheitslücke in ASUS’ Armoury Crate Software erlaubt es lokalen Angreifern, ohne Zustimmung des Benutzers Administratorrechte unter Windows zu erlangen. Falls Ihr Unternehmen ASUS-Systeme einsetzt, könnte diese Schwachstelle Ihre Endpunkte für Privilegieneskalationen anfällig machen. In diesem Beitrag erklären wir, wie die Lücke funktioniert, wie sie ausgenutzt wird und welche Maßnahmen Sie jetzt ergreifen sollten.
Was ist ASUS Armoury Crate und warum ist es relevant
ASUS Armoury Crate ist ein vorinstalliertes Systemmanagement-Tool auf vielen ASUS-Laptops und -Desktops. Es wird zur Verwaltung von Firmware-Updates, Geräteeinstellungen und RGB-Beleuchtung verwendet. Aufgrund seiner tiefen Systemintegration ist es ein attraktives Ziel für Angreifer.
Sicherheitsforscher entdeckten, dass ein Dienst mit SYSTEM-Rechten unsachgemäß genutzt wird, sodass auch Benutzer ohne Administratorrechte Prozesse mit erhöhten Berechtigungen starten können. Solche Designfehler können zur vollständigen Kompromittierung eines Systems führen.
Wie der Exploit funktioniert
Das Problem liegt in der Art, wie AsusCertService.exe ausführbare Dateien startet. Er nutzt dazu ein beschreibbares Verzeichnis (C:\ProgramData\ASUS\ARMOURY CRATE Service) und führt Programme im SYSTEM-Kontext aus. Angreifer gehen wie folgt vor:
-
Ablegen einer schädlichen Datei in diesem Verzeichnis
-
Neustart des ASUS-Dienstes oder des gesamten Systems
-
Der Dienst führt die Datei mit SYSTEM-Rechten aus
Die Forscher nutzten PsExec, ein legitimes Tool von SysInternals, benannten es in AsusUpdate.exe um und platzierten es im Zielordner. Der Dienst führte das Tool mit Administratorrechten aus, ohne eine Sicherheitswarnung zu erzeugen.
Warum diese Privilegienausweitung kritisch ist
Zugriff auf SYSTEM-Ebene bedeutet vollständige Kontrolle: Registry-Veränderung, Credential-Dumping, Rootkits installieren oder Antivirenprogramme deaktivieren. In Unternehmensnetzwerken kann das zu einer lateralen Bewegung bis hin zu Domänencontrollern führen, Netzwerksegmentierungen werden dabei umgangen.
Im Gegensatz zu Remote-Angriffen werden lokale Privilegieneskalationen oft unterschätzt. Sie sind jedoch ein fester Bestandteil vieler Post-Exploitation-Szenarien, besonders wenn Angreifer bereits Zugang über Phishing oder gestohlene Zugangsdaten erhalten haben.
Empfohlene Maßnahmen für IT- und Sicherheitsteams
Zum Zeitpunkt der Veröffentlichung gibt es noch keinen offiziellen Patch von ASUS. Administratoren sollten daher folgende Schritte unternehmen:
-
Armoury Crate auf geschäftlich genutzten Geräten deinstallieren oder deaktivieren, falls nicht zwingend erforderlich
-
Schreibzugriff auf das betroffene Verzeichnis einschränken
-
Ausführung von PsExec oder unbekannten Programmen aus dem Armoury Crate-Verzeichnis überwachen
-
Application Whitelisting und EDR-Tools einsetzen, um unerlaubte Ausführungen zu blockieren
In Sicherheitsumgebungen mit höherer Reife sollten EDR/XDR-Lösungen mit Bedrohungsdaten kombiniert werden, um solche Angriffe frühzeitig zu erkennen. Möchten Sie Ihre Sicherheitsstrategie verbessern? Unsere Cybersecurity-Services helfen Ihnen dabei.
Das Grundproblem: Schwache Berechtigungsarchitektur
Diese Schwachstelle steht exemplarisch für ein bekanntes Muster: OEM-Software mit übermäßigen Rechten und mangelhaften Zugriffskontrollen. Ob ASUS, Lenovo oder Dell – viele Systemtools bringen unnötige Risiken mit sich.
Hersteller müssen das Prinzip der minimalen Rechte auch auf ihre eigenen Programme anwenden. Sicherheitsforscher und Red Teams finden diese Lücken oft lange vor der Öffentlichkeit. Für Verteidiger heißt das: Prozesse absichern, nicht nur Software patchen.
Der Armoury Crate Exploit ist ein Paradebeispiel dafür, wie lokale Privilegieneskalation komplette Sicherheitsarchitekturen aushebeln kann. Wenn Ihre Organisation ASUS-Hardware nutzt, sollten Sie dringend handeln. Und wenn Sie nicht wissen, wo Sie anfangen sollen, unterstützt ZENDATA Sie bei der Analyse und Absicherung Ihrer Systeme.
Lesen Sie den Artikel von Bleeping Computer hier.
