ASUS MyASUS漏洞让黑客提升至SYSTEM级访问权限
华硕已披露其MyASUS应用程序中的一个高危安全漏洞,该漏洞可能允许本地攻击者在受影响的Windows设备上将其权限提升至SYSTEM级别。
该漏洞编号为CVE-2025-59373,CVSS 4.0严重性评分为8.5(高危),表明对全球数百万华硕计算机用户构成重大风险。
漏洞概述
该安全漏洞存在于ASUS系统控制接口服务中,这是MyASUS应用程序的核心组件,负责管理华硕个人电脑的硬件设置和系统实用程序。
该漏洞使具有低级本地访问权限的攻击者能够将其权限提升至SYSTEM级别,从而获得对受影响机器的完全控制。
| CVE ID | 受影响产品 | 影响 | CVSS 4.0评分 | 利用前提条件 |
|---|---|---|---|---|
| CVE-2025-59373 | ASUS系统控制接口服务(MyASUS) | 权限提升至SYSTEM | 8.5(高危) | 具有低权限的本地访问 |
获得SYSTEM级别访问权限后,威胁行为者可以执行任意代码、安装恶意软件、访问敏感数据、修改系统配置,并可能在企业网络中横向移动。
这使得该漏洞在企业环境中特别危险,因为单个受感染的端点可能导致更广泛的网络入侵。
利用条件和影响
该漏洞需要本地访问才能利用,意味着攻击者必须已经对目标系统具有某种级别的访问权限。
然而,攻击复杂度低,不需要用户交互,并且只需要最低权限即可触发漏洞利用。
潜在影响涉及高度的机密性、完整性和可用性问题,尽管影响范围仅限于易受攻击的组件之外。
受影响设备和修复措施
该漏洞影响所有运行MyASUS应用程序的华硕个人电脑,包括台式机、笔记本电脑、NUC系统和一体机。华硕已发布修补版本以解决此问题。
用户应立即更新到以下修复版本:
- ASUS系统控制接口3.1.48.0(适用于x64系统)
- ASUS系统控制接口4.2.48.0(适用于基于ARM的设备)
要验证当前安装的版本,用户可以导航到MyASUS,然后选择"设置"并点击"关于"查看版本信息。
华硕敦促所有用户尽快应用此安全更新。可以通过Windows Update获取更新,该更新将自动向符合条件的系统提供补丁。
鉴于该漏洞的高严重性评级和权限提升攻击的潜在风险,在网络中运行华硕设备的组织应优先部署此补丁。
安全团队还应监控系统是否存在任何可能表明利用尝试的可疑活动。