Un nuevo, vulnerabilidad de escalada de privilegios muy grave en los controladores de impresora HP, también utilizado por Samsung y Xerox, acaba de ser revelado.
La vulnerabilidad, al que se le ha asignado el identificador CVE-2021-3438, afecta a cientos de millones de máquinas Windows. Lo más preocupante de este tema es que ha estado presente durante al menos 16 año, mientras que su descubrimiento se hizo este año. El descubrimiento se atribuye a los investigadores de SentinelOne..
"Ya que 2005 HP, Samsung, y Xerox han lanzado millones de impresoras en todo el mundo con el controlador vulnerable,"Señaló la empresa de seguridad.
"Hace varios meses, mientras configura una nueva impresora HP, nuestro equipo encontró un controlador de impresora antiguo de 2005 llamado SSPORT.SYS gracias a una alerta de Process Hacker una vez más. Esto llevó al descubrimiento de una vulnerabilidad de alta gravedad en HP., fotocopia, y el software del controlador de impresora Samsung que no se ha revelado durante 16 año,”Dijeron los investigadores.
Desafortunadamente, la lista de impresoras afectadas incluye más de 380 diferentes modelos de HP y Samsung, y al menos una docena de productos Xerox. Sin embargo, ya que todos los modelos afectados son todos fabricados por HP, SentinelOne les informó del problema.
CVE-2021-3438 Descripción técnica
Según la descripción de MITRE, la vulnerabilidad se refiere a un posible desbordamiento del búfer en los controladores de software para ciertos productos HP LaserJet e impresoras de productos Samsung. Si se explota, el error podría crear una escalada de la condición de privilegio.
Más específicamente, la vulnerabilidad existe en una función dentro del controlador que acepta datos enviados a través del modo de usuario y control de entrada / salida. Esto se hace sin validar el parámetro de tamaño..
"Esta función copia una cadena de la entrada del usuario usando 'strncpy' con un parámetro de tamaño que es controlado por el usuario. Esencialmente, esto permite a los atacantes invadir el búfer utilizado por el controlador,"SentinelOne explicó.
El problema podría permitir que los usuarios sin privilegios eleven sus derechos a una cuenta del SISTEMA, permitiéndoles ejecutar código en modo kernel. Esto es posible, porque el controlador vulnerable está disponible localmente para cualquier persona.
Las vulnerabilidades basadas en impresoras crean un excelente vector de ataque para los ciberdelincuentes, ya que son esencialmente omnipresentes en los sistemas Windows, y se cargan automáticamente al iniciar el sistema.
Esto significa que el controlador se instala y carga sin ninguna notificación previa al usuario..
“Ya sea que esté configurando la impresora para que funcione de forma inalámbrica o mediante un cable USB, este conductor se carga. Adicionalmente, Windows lo cargará en cada arranque. Esto hace que el controlador sea un candidato perfecto para apuntar, ya que siempre se cargará en la máquina, incluso si no hay una impresora conectada.," los investigadores señalado.
Los ciberdelincuentes pueden necesitar encadenar varias vulnerabilidades para obtener acceso inicial a un sistema.. Afortunadamente, no se han detectado ataques activos en la naturaleza.
CVE-2021-3438 Mitigación
Los usuarios deben consultar Página de soporte de HP para localizar su modelo de impresora y descargar el archivo de parche disponible.
Cabe señalar que “algunas máquinas con Windows pueden tener este controlador sin siquiera ejecutar un archivo de instalación dedicado, ya que el controlador viene con Microsoft Windows a través de Windows Update,"SentinelOne dijo.
“Con millones de modelos de impresoras actualmente vulnerables, Es inevitable que si los atacantes utilizan esta vulnerabilidad como arma, buscarán a aquellos que no han tomado las medidas adecuadas.,”Concluyó la empresa.
Hace unos pocos años, los investigadores de seguridad informaron dos problemas críticos de seguridad en las impresoras HP. Una de las vulnerabilidades residía en el firmware de determinadas impresoras HP, y fue clasificado como muy crítico. Esta vulnerabilidad se conoce como CVE-2018-5924 y afecta a una función desconocida.
La segunda vulnerabilidad, CVE-2018-5925, estaba relacionado con el primero.