This post is also available in: Português
A CVE-2025-3464 é uma vulnerabilidade classificada como crítica, encontrada no driver ROG Live Service (rogdrv.sys), componente do software ASUS Armoury Crate — utilizado para gerenciamento de hardware em dispositivos da linha ROG (Republic of Gamers). A falha foi identificada como uma condição de corrida do tipo TOCTOU (Time-of-check Time-of-use), registrada sob o CWE-367.
Segundo o relatório da Cisco Talos, a exploração bem-sucedida da falha permite que usuários locais obtenham privilégios administrativos por meio de manipulação de arquivos de forma controlada, aproveitando-se de verificações temporais inconsistentes no acesso ao sistema de arquivos.
Gravidade da falha e impacto
Com uma pontuação CVSS de 8.4, a CVE-2025-3464 é considerada de alta gravidade. Embora a falha exija acesso local para exploração, o impacto é significativo: um invasor pode escalar privilégios para nível de kernel, obtendo controle total sobre o sistema.
O Armoury Crate é amplamente utilizado por usuários de notebooks e desktops ASUS, especialmente da linha gamer, o que amplia o potencial de impacto da vulnerabilidade. O driver vulnerável foi distribuído como parte de versões anteriores do Armoury Crate, antes das correções mais recentes publicadas pela ASUS.
Como a vulnerabilidade funciona
A exploração ocorre por meio de uma condição de corrida, em que o sistema verifica uma determinada condição (como permissões ou localização de arquivo) e, antes de utilizá-la, o invasor altera o estado daquele recurso. No caso específico, um atacante pode usar links simbólicos ou junções de diretório para redirecionar operações do driver para arquivos sensíveis do sistema.
Essa manipulação ocorre entre o momento em que o driver verifica a localização de um arquivo e o momento em que ele o acessa. O intervalo entre essas duas etapas permite a substituição do arquivo por um recurso malicioso, resultando na execução de código com privilégios elevados.
Produtos afetados
Estão vulneráveis os sistemas com Armoury Crate instalado que utilizam versões do driver rogdrv.sys anteriores à versão corrigida publicada pela ASUS. A falha afeta principalmente usuários domésticos, entusiastas e profissionais que utilizam equipamentos da linha ROG para tarefas de alto desempenho.
A falha está sendo explorada?
Até o momento da publicação, não há indícios públicos de exploração ativa da CVE-2025-3464. No entanto, por se tratar de uma vulnerabilidade local com possibilidade de elevação de privilégio para nível de kernel, ela representa um risco relevante, especialmente em cenários em que o sistema pode ser acessado por múltiplos usuários ou onde malwares têm capacidade de execução inicial.
Mitigação e correção
A ASUS já disponibilizou uma versão atualizada do driver rogdrv.sys corrigindo a falha. Usuários devem atualizar imediatamente o Armoury Crate para a versão mais recente, garantindo que o driver vulnerável seja substituído.
Além disso, é recomendado desabilitar temporariamente o Armoury Crate em ambientes sensíveis até que a atualização seja aplicada. Como prática adicional de segurança, usuários e administradores devem restringir ao máximo o acesso físico e lógico a sistemas que executam software com drivers em nível de kernel.
This post is also available in: Português
