Dan Kelly

**Name of the Vulnerable Software and Affected Versions** ASUS EC Tool driver (aka d.sys) versions prior to the fixed version asus armoury crate versions prior to 5.3.4.1 **Description** The issue concerns a driver that provides raw read and write access to port I/O and MSRs via unprivileged IOCTL calls, allowing local users to gain privileges. This has been exploited in real-world incidents, including attacks by the Lazarus group, which targeted security researchers and media companies in the US and Europe. The attackers used phishing schemes, including sending malicious documents, to deploy backdoors and gain control over targeted systems. The estimated number of potentially affected devices is not specified. **Recommendations** For ASUS EC Tool driver (aka d.sys) versions prior to the fixed version: Update to the latest version that contains the fix for this issue. For asus armoury crate versions prior to 5.3.4.1: Update to version 5.3.4.1 or later to resolve the issue. As a temporary workaround, consider disabling the vulnerable IOCTL handlers until a patch is available. Restrict access to the affected driver to minimize the risk of exploitation. Avoid using the affected driver in sensitive environments until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Versões do Zoho ManageEngine ADSelfService Plus anteriores à 6122 **Descrição** A vulnerabilidade permite que um administrador remoto autenticado execute comandos arbitrários do sistema operacional como SYSTEM por meio do recurso de script personalizado de políticas. Isso pode ser explorado devido ao uso de uma senha de administrador padrão, facilitando que invasores abusem dessa funcionalidade. Além disso, um invasor remoto e parcialmente autenticado pode ser capaz de injetar comandos arbitrários no script personalizado devido a um campo de senha não sanitizado, especificamente o campo `password`. Essa vulnerabilidade pode ser explorada quando um determinado recurso de sincronização de senhas está habilitado, o qual usa senhas como argumentos de script, permitindo a execução remota de código por meio da entrada do executável CMD.EXE. **Recomendações** Para versões anteriores à 6122, atualize para uma versão que inclua a correção para este problema, especificamente a compilação 6122 ou posterior, para impedir a execução remota de código. Como solução alternativa temporária, considere desativar o recurso de script personalizado de política até que um patch esteja disponível. Restrinja o acesso ao recurso de sincronização de senhas que usa senhas como argumentos de script para minimizar o risco de exploração. Evite usar o campo `password` no script personalizado até que o problema seja resolvido.