Madrid, 16 de junio de 2025 – Un fallo de seguridad calificado como de alta gravedad ha sido detectado en el software Armoury Crate de ASUS, permitiendo que posibles atacantes eleven sus privilegios hasta nivel de administrador (SYSTEM) en equipos Windows. El fallo, registrado bajo el identificador CVE-2025-3464, ha obtenido una puntuación de severidad de 8,8 sobre 10, lo que pone en alerta tanto a usuarios domésticos como a empresas.
Armoury Crate es la suite oficial de control de sistemas de ASUS para Windows, utilizada principalmente para gestionar iluminación RGB (Aura Sync), monitorizar hardware, ajustar ventiladores, administrar periféricos de la marca y descargar actualizaciones de drivers y firmware. Para realizar estas funciones, el software opera a bajo nivel mediante el controlador del kernel AsIO3.sys, que le concede acceso directo a múltiples recursos críticos del sistema.
Un error en la verificación, la raíz del problema
La vulnerabilidad fue reportada por Marcin “Icewall” Noga, investigador de Cisco Talos. Según el informe publicado, el origen del fallo reside en la forma en la que el controlador verifica la legitimidad de las aplicaciones que solicitan acceso. En lugar de emplear los controles de seguridad estándar del sistema operativo, Armoury Crate utiliza una lista blanca basada en el hash SHA-256 de AsusCertService.exe y una lista de PID permitidos.
Un atacante podría explotar esta debilidad creando un enlace duro (hard link) desde una aplicación de prueba benigna hacia un ejecutable falso. Tras iniciar la aplicación y pausarla, el atacante sustituye el enlace para que apunte al binario legítimo AsusCertService.exe. De este modo, el controlador, al calcular el hash, valida el ejecutable como fiable y concede acceso al controlador al proceso malicioso.
Este acceso indebido otorga al atacante privilegios de bajo nivel sobre el sistema, incluyendo acceso a la memoria física, puertos de entrada/salida y registros específicos del procesador, abriendo la puerta a una posible comprometida total del sistema operativo.
Un fallo aprovechable solo tras una intrusión previa
Para explotar esta vulnerabilidad, el atacante debe tener ya presencia en el sistema objetivo, ya sea mediante malware, phishing o el compromiso previo de una cuenta sin privilegios. Sin embargo, dada la amplia adopción global de Armoury Crate, la superficie de ataque es considerable, lo que incrementa el riesgo potencial para particulares y organizaciones.
Cisco Talos confirmó la afectación en la versión 5.9.13.0 del software, aunque el boletín de ASUS amplía el alcance a todas las versiones comprendidas entre la 5.9.9.0 y la 6.1.18.0.
Solución y recomendaciones
Para mitigar el riesgo, ASUS recomienda encarecidamente a sus usuarios que actualicen Armoury Crate a la versión más reciente. El proceso es sencillo: basta con abrir la aplicación y navegar a «Settings» > «Update Center» > «Check for Updates» > «Update» para descargar e instalar el parche de seguridad.
Aunque hasta la fecha no se han detectado casos de explotación activa, la empresa subraya la importancia de aplicar la actualización cuanto antes.
Contexto: un patrón recurrente
Las vulnerabilidades en controladores de kernel que permiten la escalada de privilegios locales son una vía habitual de ataque para grupos de ransomware, cibercriminales y amenazas avanzadas, incluyendo operaciones dirigidas contra organismos gubernamentales. Su explotación puede derivar en el robo de información, sabotaje o incluso en el despliegue de malware a gran escala.
Según los expertos en ciberseguridad, la gestión proactiva de parches y actualizaciones resulta fundamental para mitigar este tipo de riesgos, especialmente en entornos donde Armoury Crate se utiliza de forma generalizada.
Fuentes y recursos adicionales
La aparición de vulnerabilidades de este tipo pone de relieve la necesidad de mantener una política activa de actualización de software y de contar con sistemas de seguridad que permitan detectar y bloquear posibles intentos de explotación, incluso en aplicaciones legítimas y ampliamente distribuidas.
vía: bleepingcomputer
