Un nuovo, vulnerabilità di escalation dei privilegi molto grave nei driver della stampante HP, utilizzato anche da Samsung e Xerox, è stato appena rivelato.
La vulnerabilità, a cui è stato assegnato l'identificatore CVE-2021-3438, colpisce centinaia di milioni di macchine Windows. La cosa più preoccupante di questo problema è che è presente almeno da 16 anni, considerando che la sua scoperta è stata fatta quest'anno. La scoperta è attribuita ai ricercatori di SentinelOne.
"Da 2005 HP, Samsung, e Xerox hanno rilasciato milioni di stampanti in tutto il mondo con il driver vulnerabile,” ha sottolineato la società di sicurezza.
“Diversi mesi fa, durante la configurazione di una nuovissima stampante HP, il nostro team si è imbattuto in un vecchio driver della stampante di 2005 chiamato SSPORT.SYS grazie a un avviso di Process Hacker ancora una volta. Ciò ha portato alla scoperta di una vulnerabilità di elevata gravità in HP, Xerox, e il software del driver della stampante Samsung che non è stato divulgato per 16 anni,”I ricercatori hanno detto.
Sfortunatamente, l'elenco delle stampanti interessate include più di 380 diversi modelli HP e Samsung, e almeno una dozzina di prodotti Xerox. Tuttavia, poiché tutti i modelli interessati sono tutti prodotti da HP, SentinelOne ha segnalato loro il problema.
CVE-2021-3438 Descrizione tecnica
Secondo la descrizione di MITRE, la vulnerabilità si riferisce a un potenziale sovraccarico del buffer nei driver del software per alcuni prodotti HP LaserJet e stampanti dei prodotti Samsung. Se sfruttata, il bug potrebbe creare un'escalation della condizione di privilegio.
Più specificamente, la vulnerabilità esiste in una funzione all'interno del driver che accetta i dati inviati tramite la modalità utente e il controllo input/output. Questo viene fatto senza convalidare il parametro size.
"Questa funzione copia una stringa dall'input dell'utente utilizzando 'strncpy' con un parametro di dimensione controllato dall'utente. Essenzialmente, questo consente agli aggressori di sovraccaricare il buffer utilizzato dal driver,“Spiega SentinelOne.
Il problema potrebbe consentire agli utenti senza privilegi di elevare i propri diritti a un account SYSTEM SYSTEM, consentendo loro di eseguire il codice in modalità kernel. Questo è possibile, perché il driver vulnerabile è disponibile localmente per chiunque.
Le vulnerabilità basate sulla stampante creano un eccellente vettore di attacco per i criminali informatici, in quanto sono essenzialmente onnipresenti sui sistemi Windows, e vengono caricati automaticamente all'avvio del sistema.
Ciò significa che il driver viene installato e caricato senza alcuna notifica preventiva all'utente.
"Sia che tu stia configurando la stampante per funzionare in modalità wireless o tramite un cavo USB, questo driver viene caricato. In aggiunta, verrà caricato da Windows ad ogni avvio. Ciò rende il driver un candidato perfetto da prendere di mira poiché verrà sempre caricato sulla macchina anche se non è collegata alcuna stampante,”i ricercatori sottolineato.
I criminali informatici potrebbero dover concatenare diverse vulnerabilità per ottenere l'accesso iniziale a un sistema. Per fortuna, non sono stati rilevati attacchi attivi in natura.
Mitigazione CVE-2021-3438
Gli utenti dovrebbero fare riferimento a Pagina di supporto HP per individuare il modello della stampante e scaricare il file patch disponibile.
Va notato che "alcune macchine Windows potrebbero già avere questo driver senza nemmeno eseguire un file di installazione dedicato, poiché il driver viene fornito con Microsoft Windows tramite Windows Update,"SentinelOne ha detto.
"Con milioni di modelli di stampanti attualmente vulnerabili, è inevitabile che se gli aggressori armano questa vulnerabilità, cercheranno quelli che non hanno intrapreso l'azione appropriata,” ha concluso la società.
Alcuni anni fa, ricercatori di sicurezza hanno riferito due problemi di sicurezza critici nelle stampanti HP. Una delle vulnerabilità risiedeva nel firmware di alcune stampanti HP, ed è stato classificato come molto critico. Questa vulnerabilità è nota come CVE-2018-5924 e interessa una funzione sconosciuta.
La seconda vulnerabilità, CVE-2018-5925, era legato al primo.