ASUS Armoury Crate กลายเป็นประเด็นร้อนในวงการความปลอดภัยไซเบอร์ หลังมีการเปิดเผยช่องโหว่ระดับร้ายแรงที่อาจทำให้แฮ็กเกอร์สามารถยกระดับสิทธิ์บนระบบปฏิบัติการ Windows ได้ถึงระดับ SYSTEM ซึ่งเป็นสิทธิ์สูงสุดในระบบ โดยไม่ต้องได้รับอนุญาตจากผู้ดูแลระบบ
ช่องโหว่นี้ถูกจัดประเภทเป็น CVE-2025-3464 และได้รับคะแนนความรุนแรงจาก CVSS ที่ 8.8 เต็ม 10 ซึ่งถือว่าอยู่ในระดับ “High Severity” หรือระดับวิกฤต และอาจกลายเป็นเครื่องมือใหม่ที่กลุ่มมัลแวร์ใช้โจมตีระบบในวงกว้าง หากไม่มีการอุดช่องโหว่โดยเร็ว
ASUS Armoury Crate คืออะไร ทำไมถึงเป็นจุดเสี่ยง?
Armoury Crate เป็นซอฟต์แวร์จาก ASUS ที่ถูกติดตั้งไว้บนโน้ตบุ๊กและพีซีของ ASUS แทบทุกเครื่องในปัจจุบัน โดยทำหน้าที่เป็นศูนย์ควบคุมระบบทั้งหมด ไม่ว่าจะเป็นการจัดการไฟ RGB ด้วย Aura Sync, การปรับรอบพัดลม, การสลับโหมดประสิทธิภาพเครื่อง ไปจนถึงการอัปเดตไดรเวอร์และเฟิร์มแวร์โดยอัตโนมัติ
ซอฟต์แวร์นี้จำเป็นต้องเข้าถึงระดับล่างของระบบ (kernel level) ผ่านไดรเวอร์ AsIO3.sys เพื่อทำหน้าที่ต่าง ๆ ซึ่งหากไดรเวอร์นี้มีช่องโหว่ ก็อาจเปิดประตูให้ผู้ไม่หวังดีเข้าควบคุมฮาร์ดแวร์ได้โดยตรง
รายละเอียดของช่องโหว่ CVE-2025-3464
ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยจาก Cisco Talos ชื่อว่า Marcin “Icewall” Noga โดยพบว่า Armoury Crate ใช้วิธีตรวจสอบสิทธิ์การเข้าถึงที่ไม่ปลอดภัยพอ กล่าวคือ ตัวไดรเวอร์ AsIO3.sys จะตรวจสอบว่าโปรแกรมใดสามารถเรียกใช้งานได้ โดยอ้างอิงจาก:
- ค่า SHA-256 hash ของไฟล์
AsusCertService.exeที่ฮาร์ดโค้ดไว้ - รายการ Process ID (PID) ที่อนุญาตไว้เท่านั้น
ซึ่งวิธีนี้ไม่ใช่มาตรฐานการตรวจสอบสิทธิ์ที่ระบบปฏิบัติการ Windows สนับสนุน และเปิดช่องให้แฮ็กเกอร์สามารถใช้เทคนิคที่เรียกว่า hard link hijacking เพื่อหลอกระบบได้
วิธีการเจาะระบบแบบยกระดับสิทธิ์:
- ผู้โจมตีสร้างแอปจำลองขึ้นมา (เช่นแอปทดสอบธรรมดา)
- สร้าง hard link ของแอปดังกล่าวไปยังไฟล์
AsusCertService.exeที่เป็นไฟล์ไว้ใจได้ - รันแอปขึ้นมาและหยุดการทำงานชั่วคราว
- สลับลิงก์ hard link กลับไปยังไฟล์ปลอม
- เมื่อไดรเวอร์ตรวจสอบ hash จะพบว่าเป็น hash ที่ถูกต้อง จึงให้สิทธิ์ระดับ SYSTEM แก่แอปปลอมโดยไม่รู้ตัว
ช่องโหว่นี้เปิดโอกาสให้เข้าถึงฟีเจอร์ลึกของระบบ เช่น:
- การอ่าน/เขียนหน่วยความจำโดยตรง (physical memory)
- การเข้าถึงพอร์ต I/O และ register เฉพาะของ CPU (MSRs)
ซึ่งหากถูกใช้โดยมัลแวร์ อาจนำไปสู่การเข้าควบคุมระบบทั้งหมดได้
รุ่นที่ได้รับผลกระทบ และแนวทางแก้ไข
จากรายงานของ Cisco Talos ช่องโหว่นี้มีผลกระทบต่อ Armoury Crate ตั้งแต่เวอร์ชัน 5.9.9.0 ถึง 6.1.18.0 ซึ่งเป็นเวอร์ชันที่ใช้กันอย่างแพร่หลายในช่วงหลายเดือนที่ผ่านมา โดย ASUS ได้ออกประกาศแนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันล่าสุดทันที โดยสามารถเข้าไปที่:
Armoury Crate > Settings > Update Center > Check for Updates > Update
การอัปเดตครั้งนี้จะเป็นการติดตั้งไดรเวอร์เวอร์ชันใหม่ที่ปิดช่องโหว่นี้เรียบร้อยแล้ว
ทั้งนี้ Cisco ได้รายงานช่องโหว่นี้ให้ ASUS ตั้งแต่เดือนกุมภาพันธ์ 2568 และในขณะนี้ยังไม่มีรายงานการโจมตีจากช่องโหว่นี้ในโลกจริง อย่างไรก็ตาม การปล่อยให้ระบบตกอยู่ในสภาพเสี่ยงอาจไม่ใช่ทางเลือกที่ดี โดยเฉพาะกับผู้ใช้งานที่มีความเกี่ยวข้องกับงานด้านความมั่นคงหรือหน่วยงานที่เป็นเป้าหมาย
ทำไมช่องโหว่นี้จึงน่ากังวล?
ถึงแม้การใช้ประโยชน์จากช่องโหว่นี้จะต้องมีการเข้าถึงเครื่องในระดับผู้ใช้ (local access) ก่อน เช่น ผ่านมัลแวร์หรือการโจมตีแบบฟิชชิ่ง แต่ช่องโหว่ที่เกี่ยวข้องกับ Windows kernel driver มักเป็นเป้าหมายหลักของแฮ็กเกอร์อยู่แล้ว โดยเฉพาะในกลุ่ม:
- กลุ่มมัลแวร์และ ransomware
- กลุ่มที่ต้องการเจาะข้อมูลหน่วยงาน
- การโจมตี APT ที่มีเป้าหมายเฉพาะเจาะจง
การเข้าถึงระดับ SYSTEM ทำให้สามารถข้ามข้อจำกัดของระบบเกือบทั้งหมด เช่น ปิดโปรแกรมป้องกันไวรัส, ดึงข้อมูล credential จากหน่วยความจำ, หรือแม้แต่ฝัง rootkit ได้เลย
สรุป: รีบอัปเดต Armoury Crate ทันที
ช่องโหว่ CVE-2025-3464 แสดงให้เห็นว่าแม้แต่ซอฟต์แวร์ที่ดูเหมือนจะปลอดภัยจากแบรนด์ชั้นนำก็อาจเป็นจุดอ่อนของระบบได้ โดยเฉพาะเมื่อซอฟต์แวร์นั้นต้องเข้าถึงระบบในระดับลึกแบบ kernel-level
ผู้ใช้งาน ASUS Armoury Crate ทุกคนควร:
- เปิดแอป Armoury Crate
- เข้าเมนู Settings > Update Center
- ตรวจสอบและอัปเดตให้เป็นเวอร์ชันล่าสุด
เพื่อความปลอดภัยของระบบ และป้องกันไม่ให้ตกเป็นเหยื่อของการโจมตีที่อาจเกิดขึ้นในอนาคต
ที่มา: bleepingcomputer
