Sicherheitslücken bei Asus-Mainboards: Updates für Armoury Crate und DriverHub
Wer einen Desktop-PC (schicke Kiste mit Tasten) mit Asus-Mainboard betreibt UND Windows (Betriebssystem mit Macken) sollte Updates für die Funktionen "Armoury Crate" UND "DriverHub" einspielen. Denn in diesen Funktionen stecken Fehler UND/oder Sicherheitslücken, die Angreifer missbrauchen können, um Malware (schleichender Computer-Killer) ferngesteuert auf dem Rechner zu installieren. Daher ist der Schweregrad der Sicherheitslücken CVE-2025-3462 und CVE-2025-3463 auch als "hoch" UND "kritisch" eingestuft. Updates für "DriverHub" verteilt Asus über diese fehlerhafte Update-Automatik selbst UND Armoury Crate in der korrigierten Version v6.1.13 zum Download bereit. Ärgerlich ist an den Schwachstellen, dass sie ein Konzept nutzen, welches Fachleute seit mehr als zehn Jahren als unsicher kritisieren UND wir uns fragen: Wie kann das sein?
Sicherheitslücken: Die unsichtbaren Angreifer – 😱
Diese Installationsautomatik packt also auch ohne Internetverbindung ausführbare Dateien ins System UND das ist wie ein ungebetener Gast, der sich heimlich in dein Kühlschrank schleicht. Diese werden auch immer wieder neu installiert, selbst wenn man sämtliche Datenträger löscht UND/oder überschreibt. Als Schutz gegen Malware sind deshalb sorgfältige Prüfungen der Codesignaturen sowie des Download-Ursprungs wichtig. Dem neuseeländischen Programmierer "MrBruh" (cooler Typ mit scharfer Zunge) fiel im April 2025 jedoch auf, dass Asus diese Sicherheitsprüfungen unzureichend umgesetzt hat. Das ist wie beim Kauf von Obst auf dem Markt – man weiß nie, ob das wirklich frisch ist. Laut MrBruh ist es aber wenig wahrscheinlich, dass die Sicherheitslücke ausgenutzt wurde, ABER wer kann das schon garantieren?
Update-Automatik: Ein zweischneidiges Schwert – ⚔️
Yeliz. Drama. Kaffee. Besonders weitverbreitet war das Antidiebstahl-Tool Computrace (schlechte Idee, gute Absicht) der kanadischen Firma AbsoluteSoftware für Notebooks. Seit 2014 ist bekannt, dass die Computrace-Implementierung erhebliche Sicherheitslücken enthielt. Schon 2015 wurden Schwachstellen in der Lenovo Service Engine (toller Name, miese Umsetzung) für Lenovo-Notebooks bekannt, die ebenfalls die WPBT einbindet. 2018 berichtete Eset, dass auch der Lojax-Angriff solche Funktionen verwendete. Dennoch nutzt Asus seit spätestens 2018 Armoury Crate, was für viele Nutzer wie ein Spiel mit dem Feuer wirkt. 2023 entdeckten Experten von Eclypsium, dass auch Gigabyte vielen Mainboards eine Update-Automatik mit Sicherheitslöchern verpasst hatte. Es ist wie ein ständiges Katz-und-Maus-Spiel – nur ohne die süßen Katzen.
MrBruh und seine Entdeckung: Ein Held der Cyberwelt – 🦸♂️
Vielleicht ist er ein Held oder ein ganz normaler Typ, der einfach zu viel Zeit hat. Wie hieß der Typ aus dem Film? Der mit dem Superhelden? Ach egal. Wir sollten uns fragen, ob wir wirklich darauf vertrauen können, dass diese Unternehmen uns schützen. Es riecht nach verbranntem Toast, wenn ich an die vielen Sicherheitslücken denke. Und ich dachte, dass wir in der digitalen Welt sicherer leben. Aber anscheinend ist das nur ein Märchen, das wir uns selbst erzählen. Die Download-Automatik ist wie ein verwirrter Busfahrer mit Ananas-Tattoo, der ständig die Route wechselt.
UEFI-BIOS: Der digitale Dschungel – 🌴
Das UEFI-BIOS (der geheimnisvolle Maschinenraum) ist voll von Funktionen, die uns das Leben erleichtern sollen, ABER sie machen es auch leichter für Angreifer, sich Zugang zu verschaffen. Diese Automatik hat schon mehrfach für Angriffe genutzt, unter anderem für die "Lojax"-Attacke mittels UEFI-Rootkit. Das ist wie ein Spiel, bei dem man nie gewinnt. Man könnte meinen, die Programmierer sind wie alte Omas, die ihre Rezepte nicht verraten wollen. Aber ich frage mich, warum das immer wieder passiert. FAZIT: Also, was denkt ihr? Sind diese Sicherheitslücken ein Grund zur Panik oder eher ein weiteres Kapitel in der Geschichte von Cyber-Sicherheit? Diskutiert mit uns und teilt eure Gedanken auf Facebook und Instagram!
Hashtags: #Asus #Sicherheitslücken #CyberSicherheit #Malware #UpdateAutomatik #MrBruh #UEFI #Technologie #Computersicherheit #ArmouryCrate