Un nouveau, vulnérabilité d'escalade de privilèges très grave dans les pilotes d'imprimante HP, également utilisé par Samsung et Xerox, vient d'être divulgué.
La vulnérabilité, auquel a été attribué l'identifiant CVE-2021-3438, affecte des centaines de millions de machines Windows. Ce qui est le plus préoccupant dans ce problème, c'est qu'il est présent depuis au moins 16 ans, alors que sa découverte a été faite cette année. La découverte est attribuée aux chercheurs de SentinelOne.
"Depuis 2005 HP, Samsung, et Xerox ont lancé des millions d'imprimantes dans le monde avec le pilote vulnérable,», a souligné la société de sécurité.
« Il y a quelques mois, tout en configurant une toute nouvelle imprimante HP, notre équipe est tombée sur un ancien pilote d'imprimante de 2005 appelé SSPORT.SYS grâce à une nouvelle alerte de Process Hacker. Cela a conduit à la découverte d'une vulnérabilité de gravité élevée dans HP, Photocopier, et le logiciel du pilote d'imprimante Samsung qui n'a pas été divulgué depuis 16 ans,» Les chercheurs.
Malheureusement, la liste des imprimantes concernées comprend plus de 380 différents modèles HP et Samsung, et au moins une douzaine de produits Xerox. Cependant, puisque tous les modèles concernés sont tous fabriqués par HP, SentinelOne leur a signalé le problème.
CVE-2021-3438 Description technique
D'après la description de MITRE, la vulnérabilité fait référence à un débordement potentiel de la mémoire tampon dans les pilotes logiciels de certains produits HP LaserJet et imprimantes de produits Samsung. Si elle est exploitée, le bogue pourrait créer une escalade de la condition de privilège.
Plus précisement, la vulnérabilité existe dans une fonction du pilote qui accepte les données envoyées via le mode utilisateur et le contrôle d'entrée/sortie. Cela se fait sans valider le paramètre size.
"Cette fonction copie une chaîne à partir de l'entrée utilisateur à l'aide de 'strncpy' avec un paramètre de taille contrôlé par l'utilisateur. Essentiellement, cela permet aux attaquants de dépasser le tampon utilisé par le pilote,” SentinelOne a expliqué.
Le problème pourrait permettre aux utilisateurs non privilégiés d'élever leurs droits sur un compte SYSTEM, leur permettant d'exécuter du code en mode noyau. C'est possible, parce que le pilote vulnérable est disponible localement pour n'importe qui.
Les vulnérabilités basées sur les imprimantes créent un excellent vecteur d'attaque pour les cybercriminels, car ils sont essentiellement omniprésents sur les systèmes Windows, et sont chargés automatiquement au démarrage du système.
Cela signifie que le pilote est installé et chargé sans aucune notification préalable de l'utilisateur.
« Que vous configuriez l'imprimante pour qu'elle fonctionne sans fil ou via un câble USB, ce pilote est chargé. En outre, il sera chargé par Windows à chaque démarrage. Cela fait du pilote un candidat parfait à cibler puisqu'il sera toujours chargé sur la machine même s'il n'y a pas d'imprimante connectée," les chercheurs souligné.
Les cybercriminels peuvent avoir besoin d'enchaîner plusieurs vulnérabilités pour obtenir un premier accès à un système. Heureusement, aucune attaque active n'a été détectée dans la nature.
CVE-2021-3438 Atténuation
Les utilisateurs doivent se référer à Page d'assistance HP pour localiser leur modèle d'imprimante et télécharger le fichier de correctif disponible.
Il convient de noter que « certaines machines Windows peuvent déjà avoir ce pilote sans même exécuter un fichier d'installation dédié, puisque le pilote est fourni avec Microsoft Windows via Windows Update," a déclaré SentinelOne.
« Avec des millions de modèles d'imprimantes actuellement vulnérables, il est inévitable que si les attaquants utilisent cette vulnérabilité comme arme, ils recherchent ceux qui n'ont pas pris les mesures appropriées," a conclu la société.
Il y a quelques années, les chercheurs en sécurité ont rapporté deux problèmes de sécurité critiques dans les imprimantes HP. Une des vulnérabilités résidait dans le firmware de certaines imprimantes HP, et il a été classé comme très critique. Cette vulnérabilité est connue sous le nom de CVE-2018-5924 et affecte une fonction inconnue.
La deuxième vulnérabilité, CVE-2018-5925, était lié au premier.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: