Een nieuw, zeer ernstig beveiligingslek met betrekking tot escalatie van bevoegdheden in HP-printerstuurprogramma's, ook gebruikt door Samsung en Xerox, werd net onthuld.
De kwetsbaarheid, waaraan de identifier CVE-2021-3438 is toegewezen, treft honderden miljoenen Windows-machines. Het meest verontrustende aan dit probleem is dat het al minstens 16 jaar, overwegende dat de ontdekking dit jaar werd gedaan. De ontdekking wordt toegeschreven aan SentinelOne-onderzoekers.
"Sinds 2005 PK, Samsung, en Xerox hebben wereldwijd miljoenen printers uitgebracht met de kwetsbare driver,” merkte het beveiligingsbedrijf op.
"Een aantal maanden geleden, tijdens het configureren van een gloednieuwe HP-printer, ons team kwam een oud printerstuurprogramma tegen van: 2005 genaamd SSPORT.SYS dankzij nogmaals een waarschuwing van Process Hacker. Dit leidde tot de ontdekking van een zeer ernstige kwetsbaarheid in HP, Xerox, en Samsung-printerstuurprogrammasoftware die niet is bekendgemaakt voor 16 jaar,”Aldus de onderzoekers.
Helaas, de lijst met betrokken printers bevat meer dan 380 verschillende HP- en Samsung-modellen, en minstens een dozijn Xerox-producten. Echter, aangezien alle betrokken modellen allemaal zijn vervaardigd door HP, SentinelOne heeft het probleem aan hen gemeld.
CVE-2021-3438 Technische beschrijving:
Volgens de beschrijving van MITRE, het beveiligingslek verwijst naar een mogelijke bufferoverloop in de softwarestuurprogramma's voor bepaalde HP LaserJet-producten en Samsung-productprinters. Als uitgebuit, de bug kan een escalatie van de privilege-voorwaarde veroorzaken.
Specifieker, de kwetsbaarheid bestaat in een functie in het stuurprogramma die gegevens accepteert die zijn verzonden via de gebruikersmodus en invoer-/uitvoercontrole. Dit wordt gedaan zonder de parameter size te valideren.
"Deze functie kopieert een string van de gebruikersinvoer met behulp van 'strncpy' met een grootteparameter die wordt beheerd door de gebruiker. In wezen, hierdoor kunnen aanvallers de buffer overschrijden die door de bestuurder wordt gebruikt,SentinelOne uitgelegdOne.
Door het probleem kunnen onbevoegde gebruikers hun rechten op een SYSTEEM-account verhogen, waardoor ze code kunnen uitvoeren in de kernelmodus. Dit is mogelijk, omdat de kwetsbare driver lokaal voor iedereen beschikbaar is.
Op printers gebaseerde kwetsbaarheden vormen een uitstekende aanvalsvector voor cybercriminelen, omdat ze in wezen alomtegenwoordig zijn op Windows-systemen, en worden automatisch geladen bij het opstarten van het systeem.
Dit betekent dat het stuurprogramma wordt geïnstalleerd en geladen zonder voorafgaande kennisgeving van de gebruiker.
“Of u de printer nu configureert om draadloos of via een USB-kabel te werken, dit stuurprogramma wordt geladen. Bovendien, het wordt bij elke keer opstarten door Windows geladen. Dit maakt het stuurprogramma een perfecte kandidaat om te targeten, omdat het altijd op de machine wordt geladen, zelfs als er geen printer is aangesloten," de onderzoekers wees erop.
Cybercriminelen moeten mogelijk meerdere kwetsbaarheden aan elkaar koppelen om de eerste toegang tot een systeem te krijgen. Gelukkig, er zijn geen actieve aanvallen in het wild gedetecteerd.
CVE-2021-3438 Beperking
Gebruikers moeten verwijzen naar: HP's ondersteuningspagina om hun printermodel te vinden en het beschikbare patchbestand te downloaden.
Opgemerkt moet worden dat "sommige Windows-machines dit stuurprogramma mogelijk al hebben zonder zelfs een speciaal installatiebestand uit te voeren", aangezien het stuurprogramma wordt geleverd met Microsoft Windows via Windows Update,"SentinelOne zei".
“Met miljoenen printermodellen die momenteel kwetsbaar zijn, het is onvermijdelijk dat als aanvallers deze kwetsbaarheid bewapenen, ze degenen zullen zoeken die niet de juiste actie hebben ondernomen,” concludeerde het bedrijf.
Een paar jaar geleden, security onderzoekers rapporteerden twee kritieke beveiligingsproblemen in HP printers. Een van de kwetsbaarheden zat in de firmware van bepaalde HP printers, en het werd geclassificeerd als zeer kritisch. Deze kwetsbaarheid staat bekend als CVE-2018-5924 en heeft een onbekende functie aangetast.
De tweede kwetsbaarheid, CVE-2018-5925, had te maken met de eerste.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: