ASUS MyASUS Flaw Lets Hackers Escalate to SYSTEM-Level Access
2025/11/26 CyberSecurityNews — ASUS が公表したのは、MyASUS アプリケーションに存在する深刻なセキュリティ脆弱性に関する情報である。この脆弱性を悪用するローカル攻撃者は、影響を受ける Windows デバイス上で SYSTEM レベル権限へと昇格する可能性がある。この深刻な脆弱性 CVE-2025-59373 (CVSS 4.0:8.5) は、世界中の数百万人の ASUS コンピューター・ユーザーに深刻なリスクをもたらす可能性がある。
脆弱性の概要
このセキュリティ脆弱性は、ASUS システム制御インターフェイス・サービスに存在する。このサービスは、ASUS パーソナル・コンピューターのハードウェア設定とシステム・ユーティリティを管理する、MyASUS アプリケーションの重要な構成要素である。
この脆弱性を悪用する、低レベルのローカル・アクセス権限を持つ攻撃者は、権限を SYSTEM レベルに昇格させ、影響を受けるマシンを完全に制御できるようになる。
| CVE ID | Affected Product | Impact | CVSS 4.0 Score | Exploit Prerequisites |
| CVE-2025-59373 | ASUS System Control Interface Service (MyASUS) | Privilege Escalation to SYSTEM | 8.5 (High) | Local access with low privileges |
侵害に成功して SYSTEM レベルのアクセス権限を得た攻撃者は、任意のコードの実行/マルウェアのインストール/機密データへのアクセス/システム・コンフィグの変更などに加え、企業ネットワーク内における水平展開が可能になる。
そのため、侵害されたエンドポイントが1か所であっても、より広範なネットワーク侵入につながる可能性があるエンタープライズ環境では、この脆弱性は特に危険である。
この脆弱性を悪用するためにはローカル・アクセスが必要である。つまり攻撃者は、標的システムへの何らかのレベルのアクセス権を先行して持っている必要がある。ただし、攻撃の複雑さは低く、ユーザーによる操作は不要であり、エクスプロイトをトリガーするために必要な権限は最小限である。
機密性/整合性/可用性に対する潜在的な影響が懸念されるが、そのスコープは対象となるコンポーネントから変化しない。
この脆弱性が影響を及ぼす範囲は、MyASUS アプリケーションを実行している、すべての ASUS パーソナル・コンピューター (デスクトップ/ノートパソコン/NUC システム/オールインワン PC) である。
すでに ASUS は、この問題を修正した修正版をリリースしている。ユーザーにとって必要なことは、以下の修正バージョンに直ちにアップデートすることである。
- x64 システム向け:ASUS System Control Interface 3.1.48.0
- ARM ベース・デバイス向け:ASUS System Control Interface 4.2.48.0
現在インストールされているバージョンを確認するには、MyASUS にアクセスして Settings を選択し、About をクリックしてバージョン情報を表示する。
すべてのユーザーに対して ASUS が強く推奨するのは、このセキュリティ更新プログラムの可能な限り早急な適用である。この更新プログラムは Windows Update からの入手も可能であり、対象システムに自動的にパッチが配信される。
ネットワーク上で ASUS デバイスを運用している組織にとって必要なことは、深刻度が高く権限昇格攻撃の危険性があることから、この更新プログラムの適用を優先することだ。また、セキュリティ・チームは、システムを監視し、悪用を示唆する不審なアクティビティの有無を確認する必要がある。
MyASUS の脆弱性を悪用するローカル権限のユーザーは、ハードウェア設定を扱う ASUS System Control Interface サービスを介して、SYSTEM 権限を取得できるようです。このサービスは OS 上の高権限を持つため、ここを足掛かりにされると、マルウェアのインストールやネットワーク内での横展開まで許してしまうと、この記事は指摘しています。よろしければ、ASUS での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.