Na początku 2021 roku analitycy bezpieczeństwa z Sentinel Labs odkryli lukę w zabezpieczeniach sterowników Windows dla drukarek laserowych firm HP, Samsung i Xerox. Luka CVE-2021-3438 8,8 („wysoka”) istnieje w CVE od 16 lat. Umożliwiłoby to lokalnym atakującym rozszerzenie uprawnień (Local Privilege Escalation, LPE), a następnie przejęcie kontroli nad systemem.
Według Sentinel Labs szacuje się, że od 2005 r. miliony drukarek zostały wysłane z zagrożonym sterownikiem. Aktualizacja zabezpieczeń dla sterowników drukarek opracowana przez HP jest dostępna od 19 maja. Użytkownicy systemu Windows, którzy używają słabego sprzętu i nie dokonali jeszcze aktualizacji, powinni to zrobić szybko. Szczegóły podano w ostatniej części tego listu.
Eskalacja uprawnień przy użyciu przepełnienia bufora
obecny Wpis na blogu Sentinel Labs Zawiera więcej szczegółów na temat CVE-2021-3438. W związku z tym, na początku tego roku, podczas konfigurowania zupełnie nowej drukarki HP, zespół znalazł sterownik drukarki z 2005 roku o nazwie SSPORT.SYS. Dokładna analiza wykazała, że odpowiedni sterownik systemu Windows został zainstalowany wraz z pakietem sterownika drukarki bez monitu. Dzieje się tak niezależnie od tego, czy drukarka jest zintegrowana przez USB czy WLAN.
Po dalszym dochodzeniu z kierowcą zespół odkrył wrażliwą funkcję bezpieczeństwa. Akceptuje dane wysyłane w trybie użytkownika przez IOCTL (Input/Output Control) bez sprawdzania ich rozmiaru (parametr „rozmiar”). Osoba atakująca może wykorzystać tę lukę do wywołania przepełnienia buforu w sterowniku trybu jądra, a tym samym uzyskać uprawnienia konta systemowego. Według badacza fakt, że sterownik jest ładowany przy każdym uruchomieniu systemu Windows, nawet jeśli brakuje drukarki, czyni go idealnym celem.
Dostępne są zaktualizowane sterowniki drukarki
Jej odkrywcy zgłosili lukę w zabezpieczeniach firmie Hewlett Packard (HP), producentowi odpowiedzialnemu za rozwój sterowników, 18 lutego 2021 r. 19 maja 2021 r. firma opublikowała aktualizację zabezpieczeń zawierającą poprawkę dotyczącą luki w odpowiednim sterowniku drukarki dla systemu Windows.
HPs zu CVE-2021-3438 Wskazówki dotyczące bezpieczeństwa Zawiera więcej informacji o lukach, nazwy modeli drukarek, których dotyczy problem — tylko drukarki laserowe — a także łącza pobierania dla poprawionego sterownika drukarki dla systemu Windows. Poradnik został zaktualizowany 2 dni temu. Xerox ma własną minibroszurę Wraz z materiałami referencyjnymi do pobrania dla konkretnego urządzenia.
W poradniku dotyczącym bezpieczeństwa stwierdza się, że użytkownicy drukarek HP, Xerox i Samsung zarówno w domenie firmowej, jak i osobistej powinni jak najszybciej zainstalować oferowaną aktualizację. Należy również zauważyć, że certyfikat poprzedniego kierowcy nie został jeszcze cofnięty. Dlatego słaby sterownik będzie prawdopodobnie nadal używany w atakach BYOVD (Bring Your Own Vulnerable Driver).
Okna nękane przez koszmary związane z drukarką
Użytkownicy i administratorzy systemu Windows napotykają obecnie luki związane z usługami drukarki lub sterownikami. Chociaż krytyczna luka PrintNightmare została zamknięta na początku lipca za pomocą łatki awaryjnej, jak dotąd istnieje tylko obejście innej luki w zabezpieczeniach drukarki (CVE-2021-34481), o której Microsoft ostrzegał dopiero w zeszłym tygodniu:
(UFO)