Ein neuer, hochgradig schwerwiegende Sicherheitslücke bei der Ausweitung von Berechtigungen in HP-Druckertreibern, wird auch von Samsung und Xerox verwendet, wurde gerade enthüllt.
Die Sicherheitslücke, dem die Kennung CVE-2021-3438 zugewiesen wurde, betrifft Hunderte Millionen von Windows-Rechnern. Das Besorgniserregendste an diesem Problem ist, dass es seit mindestens 16 Jahre, in der Erwägung, dass seine Entdeckung in diesem Jahr gemacht wurde. Die Entdeckung wird SentinelOne-Forschern zugeschrieben.
"Schon seit 2005 HP, Samsung, und Xerox haben weltweit Millionen von Druckern mit dem anfälligen Treiber veröffentlicht,“, wies die Sicherheitsfirma darauf hin.
"Vor mehreren Monaten, beim Konfigurieren eines brandneuen HP-Druckers, unser Team ist auf einen alten Druckertreiber von gestoßen 2005 aufgerufen SSPORT.SYS dank einer Warnung von Process Hacker erneut. Dies führte zur Entdeckung einer Schwachstelle mit hohem Schweregrad in HP, Xerox, und Samsung-Druckertreibersoftware, die für 16 Jahre,“Sagten die Forscher.
Leider, die Liste der betroffenen Drucker umfasst mehr als 380 verschiedene HP- und Samsung-Modelle, und mindestens ein Dutzend Xerox-Produkte. Jedoch, da alle betroffenen Modelle alle von HP hergestellt werden, SentinelOne hat ihnen das Problem gemeldet.
CVE-2021-3438 Technische Beschreibung
Laut MITREs Beschreibung, Die Sicherheitsanfälligkeit bezieht sich auf einen möglichen Pufferüberlauf in den Softwaretreibern für bestimmte HP LaserJet-Produkte und Samsung-Produktdrucker. Wenn ausgebeutet, der Fehler könnte zu einer Eskalation der Berechtigungsbedingung führen.
Genauer, Die Schwachstelle liegt in einer Funktion innerhalb des Treibers, die Daten akzeptiert, die über den Benutzermodus und die Eingabe-/Ausgabesteuerung gesendet werden. Dies erfolgt ohne Validierung des Größenparameters.
„Diese Funktion kopiert einen String aus der Benutzereingabe mit ‚strncpy‘ mit einem Größenparameter, der vom Benutzer gesteuert wird. Im Wesentlichen, Dies ermöglicht Angreifern, den vom Treiber verwendeten Puffer zu überlaufen,” SentinelOne erklärt.
Das Problem könnte es unprivilegierten Benutzern ermöglichen, ihre Rechte an einem SYSTEM-Konto zu erhöhen, damit sie Code im Kernelmodus ausführen können. Das ist möglich, weil der gefährdete Fahrer lokal für jeden verfügbar ist.
Druckerbasierte Schwachstellen bilden einen hervorragenden Angriffsvektor für Cyberkriminelle, da sie auf Windows-Systemen im Wesentlichen allgegenwärtig sind, und werden beim Systemstart automatisch geladen.
Dies bedeutet, dass der Treiber ohne vorherige Benachrichtigung des Benutzers installiert und geladen wird.
„Ob Sie den Drucker so konfigurieren, dass er drahtlos oder über ein USB-Kabel funktioniert, dieser Treiber wird geladen. Außerdem, es wird bei jedem Booten von Windows geladen. Dies macht den Treiber zu einem perfekten Zielkandidaten, da er immer auf das Gerät geladen wird, auch wenn kein Drucker angeschlossen ist," die Forscher wies darauf hin.
Cyberkriminelle müssen möglicherweise mehrere Schwachstellen miteinander verketten, um ersten Zugriff auf ein System zu erhalten. Zum Glück, es wurden keine aktiven Angriffe in freier Wildbahn festgestellt.
CVE-2021-3438 Schadensbegrenzung
Benutzer sollten sich beziehen auf Support-Seite von HP um ihr Druckermodell zu finden und die verfügbare Patch-Datei herunterzuladen.
Es sollte beachtet werden, dass "einige Windows-Computer diesen Treiber möglicherweise bereits haben, ohne eine dedizierte Installationsdatei auszuführen"., da der Treiber über Windows Update mit Microsoft Windows geliefert wird,“, sagte SentinelOne.
„Mit Millionen von Druckermodellen, die derzeit anfällig sind, Wenn Angreifer diese Schwachstelle als Waffe nutzen, ist es unvermeidlich, dass sie diejenigen suchen, die nicht die entsprechenden Maßnahmen ergriffen haben,“ schloss das Unternehmen company.
Vor einigen Jahren, Sicherheitsforscher berichtet zwei kritische Sicherheitsprobleme bei HP-Druckern. Eine der Schwachstellen lag in der Firmware bestimmter HP-Drucker, und wurde als sehr kritisch eingestuft. Diese Schwachstelle ist als CVE-2018-5924 bekannt und betrifft eine unbekannte Funktion.
Die zweite Lücke, CVE-2018-5925, war mit dem ersten verwandt.