新しい, HPプリンタードライバーの非常に深刻な特権昇格の脆弱性, SamsungとXeroxでも使用されています, 開示されたばかり.
脆弱性, CVE-2021-3438識別子が割り当てられています, 何億ものWindowsマシンに影響を与える. この問題について最も懸念しているのは、少なくともそれが存在しているということです 16 年, その発見は今年行われましたが. この発見はSentinelOneの研究者によるものです.
"以来 2005 HP, サムスン, ゼロックスは、脆弱なドライバーを備えた何百万ものプリンターを世界中にリリースしました,」警備会社は指摘しました.
「数ヶ月前, 新品のHPプリンターを構成している間, 私たちのチームはからの古いプリンタードライバーに出くわしました 2005 ProcessHackerによるアラートのおかげでSSPORT.SYSと呼ばれました. これにより、HPに重大度の高い脆弱性が発見されました, ゼロックス, およびSamsungのプリンタドライバソフトウェアは、 16 年,」研究者は言った.
不運にも, 影響を受けるプリンタのリストには、 380 異なるHPおよびSamsungモデル, 少なくとも1ダースのXerox製品. でも, 影響を受けるすべてのモデルはすべてHPによって製造されているため, SentinelOneは問題を彼らに報告しました.
CVE-2021-3438技術的説明
MITREの説明によると, この脆弱性は、特定のHPLaserJet製品およびSamsung製品プリンターのソフトウェアドライバーの潜在的なバッファーオーバーフローを指します。. 悪用された場合, バグにより、特権条件の昇格が発生する可能性があります.
すなわち, この脆弱性は、ユーザーモードおよび入出力制御を介して送信されたデータを受け入れるドライバー内の機能に存在します. これは、サイズパラメータを検証せずに実行されます.
「この関数は、ユーザーが制御するサイズパラメーターを持つ「strncpy」を使用してユーザー入力から文字列をコピーします. 本質的に, これにより、攻撃者はドライバーが使用するバッファーをオーバーランさせることができます,」SentinelOneは説明しました.
この問題により、特権のないユーザーがSYSTEMアカウントへの権利を昇格させる可能性があります, カーネルモードでコードを実行できるようにする. これは可能です, 脆弱なドライバーは誰でもローカルで利用できるため.
プリンターベースの脆弱性は、サイバー犯罪者にとって優れた攻撃ベクトルを生み出します, それらは基本的にWindowsシステムに遍在しているため, システムの起動時に自動的にロードされます.
これは、事前のユーザー通知なしにドライバーがインストールおよびロードされることを意味します.
「ワイヤレスで動作するようにプリンタを構成しているのか、USBケーブルを介して動作するように構成しているのか, このドライバーが読み込まれます. 加えて, 起動するたびにWindowsによってロードされます. これにより、プリンターが接続されていない場合でも、ドライバーは常にマシンにロードされるため、ドライバーをターゲットにするのに最適な候補になります。,」研究者 指摘した.
サイバー犯罪者は、システムへの最初のアクセスを取得するために、いくつかの脆弱性を連鎖させる必要がある場合があります. 幸運, 野生ではアクティブな攻撃は検出されていません.
CVE-2021-3438緩和策
ユーザーは参照する必要があります HPのサポートページ プリンタモデルを見つけて、利用可能なパッチファイルをダウンロードします.
「一部のWindowsマシンには、専用のインストールファイルを実行しなくても、このドライバーが既にインストールされている場合があります。, ドライバーはWindowsUpdate経由でMicrosoftWindowsに付属しているため,」センチネルワンは言った.
「現在、数百万のプリンタモデルが脆弱です。, 攻撃者がこの脆弱性を悪用した場合、適切なアクションを実行していないものを探すことは避けられません。,」会社は結論を出しました.
数年前, セキュリティ研究者は報告しました HPプリンターの2つの重大なセキュリティ問題. 脆弱性の1つは、特定のHPプリンターのファームウェアに存在していました, そしてそれは非常に重要であると分類されました. この脆弱性はCVE-2018-5924として知られており、未知の機能に影響を及ぼしました.
2番目の脆弱性, CVE-2018-5925, 最初のものに関連していた.