Uma nova, vulnerabilidade de escalonamento de privilégios altamente grave em drivers de impressora HP, também usado pela Samsung e Xerox, acabou de ser divulgado.
a vulnerabilidade, ao qual foi atribuído o identificador CVE-2021-3438, afeta centenas de milhões de máquinas Windows. O que é mais preocupante sobre esse problema é que ele está presente há pelo menos 16 anos, considerando que sua descoberta foi feita este ano. A descoberta é atribuída aos pesquisadores do SentinelOne.
"Desde a 2005 HP, Samsung, e a Xerox lançaram milhões de impressoras em todo o mundo com o driver vulnerável,”A empresa de segurança apontou.
“Vários meses atrás, ao configurar uma nova impressora HP, nossa equipe encontrou um driver de impressora antigo de 2005 chamado SSPORT.SYS graças a um alerta do Process Hacker mais uma vez. Isso levou à descoberta de uma vulnerabilidade de alta gravidade na HP, xerox, e software de driver de impressora Samsung que permaneceu não divulgado por 16 anos,”Disseram os pesquisadores.
Infelizmente, a lista de impressoras afetadas inclui mais de 380 diferentes modelos HP e Samsung, e pelo menos uma dúzia de produtos Xerox. Contudo, uma vez que todos os modelos afetados são todos fabricados pela HP, SentinelOne relatou o problema a eles.
Descrição técnica CVE-2021-3438
De acordo com a descrição do MITRE, a vulnerabilidade refere-se a um potencial estouro de buffer nos drivers de software para determinados produtos HP LaserJet e impressoras de produtos Samsung. Se explorada, o bug pode criar uma escalada de condição de privilégio.
Mais especificamente, a vulnerabilidade existe em uma função dentro do driver que aceita dados enviados via modo de usuário e controle de entrada / saída. Isso é feito sem validar o parâmetro de tamanho.
“Esta função copia uma string da entrada do usuário usando 'strncpy' com um parâmetro de tamanho que é controlado pelo usuário. Essencialmente, isso permite que os invasores invadam o buffer usado pelo driver,”SentinelOne explicou.
O problema pode permitir que usuários sem privilégios elevem seus direitos para uma conta SYSTEM, permitindo que eles executem código no modo kernel. Isso é possível, porque o driver vulnerável está disponível localmente para qualquer pessoa.
Vulnerabilidades baseadas em impressoras criam um excelente vetor de ataque para cibercriminosos, pois são essencialmente onipresentes em sistemas Windows, e são carregados automaticamente na inicialização do sistema.
Isso significa que o driver é instalado e carregado sem qualquer notificação prévia do usuário.
“Se você está configurando a impressora para funcionar sem fio ou por meio de um cabo USB, este driver é carregado. além do que, além do mais, será carregado pelo Windows a cada inicialização. Isso torna o driver um candidato perfeito para o destino, uma vez que sempre será carregado na máquina, mesmo se não houver impressora conectada," Os pesquisadores apontou.
Os cibercriminosos podem precisar encadear várias vulnerabilidades para obter acesso inicial a um sistema. Felizmente, nenhum ataque ativo foi detectado na natureza.
CVE-2021-3438 Mitigação
Os usuários devem referir-se a Página de suporte da HP para localizar o modelo da impressora e baixar o arquivo de patch disponível.
Deve-se notar que “algumas máquinas Windows podem já ter este driver, mesmo sem executar um arquivo de instalação dedicado, uma vez que o driver vem com o Microsoft Windows via Windows Update,”SentinelOne disse.
“Com milhões de modelos de impressoras atualmente vulneráveis, é inevitável que, se os invasores usarem essa vulnerabilidade como arma, eles procurarão aqueles que não tomaram as medidas adequadas,”A empresa concluiu.
Alguns anos atrás, pesquisadores de segurança relataram dois problemas críticos de segurança em impressoras HP. Uma das vulnerabilidades residia no firmware de certas impressoras HP, e foi classificado como muito crítico. Esta vulnerabilidade é conhecida como CVE-2018-5924 e afetou uma função desconhecida.
A segunda vulnerabilidade, CVE-2018-5925, estava relacionado com o primeiro.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: