Como parte de nosso compromisso de proteger a Internet para todos os usuários, nossos pesquisadores se envolveram em um processo aberto de descoberta de vulnerabilidades para alvos que afetam uma ampla faixa de usuários finais.

Sumário executivo

   > O SentinelLabs descobriu uma falha de alta gravidade nos drivers de impressora HP, Samsung e Xerox.

   > Desde 2005, HP, Samsung e Xerox lançaram milhões de impressoras em todo o mundo com o driver vulnerável.

   > As descobertas do SentinelLabs foram relatadas proativamente à HP em 18 de fevereiro de 2021 e são rastreadas como CVE-2021-3438,                    marcadas com CVSS Score 8.8.

   > A HP lançou uma atualização de segurança em 19 de maio para seus clientes para resolver esta vulnerabilidade.


Como parte de nosso compromisso de proteger a Internet para todos os usuários, nossos pesquisadores se envolveram em um processo aberto de descoberta de vulnerabilidades para alvos que afetam uma ampla faixa de usuários finais. Nossa pesquisa tem sido consistentemente frutífera, particularmente na área de drivers OEM [ 1 , 2 ]. Muitos desses drivers vêm pré-carregados em dispositivos ou são descartados silenciosamente durante a instalação de algum pacote de software legítimo inócuo e sua presença é totalmente desconhecida para os usuários. Esses drivers OEM geralmente têm décadas e são codificados sem se preocupar com seu impacto potencial na integridade geral desses sistemas.

Nossa abordagem de pesquisa nos permitiu interagir de forma proativa com fornecedores e fabricantes para corrigir vulnerabilidades anteriormente desconhecidas antes que elas possam ser exploradas em liberdade. Continuaremos nossos esforços para reduzir a superfície de ataque geral disponível para adversários astutos.


Descobrindo uma vulnerabilidade no driver da impressora HP

Vários meses atrás, ao configurar uma impressora HP totalmente nova, nossa equipe encontrou um driver de impressora antigo de 2005 chamado SSPORT.SYS, graças a um alerta do Process Hacker mais uma vez.

Isso levou à descoberta de uma vulnerabilidade de alta gravidade no software de driver de impressora HP, Xerox e Samsung que permaneceu oculta por 16 anos. Esta vulnerabilidade afeta uma lista muito longa de mais de 380 modelos diferentes de impressoras HP e Samsung, bem como pelo menos uma dúzia de produtos Xerox diferentes.


O início de uma longa lista de produtos HP e Samsung afetados

Vários produtos Xerox também são afetados pelo CVE-2021-3438

Como todos esses modelos são, na verdade, fabricados pela HP, relatamos a vulnerabilidade deles.

Detalhes técnicos

Apenas executando o software da impressora, o driver é instalado e ativado na máquina, independentemente de você concluir a instalação ou cancelar.




Assim, na verdade, esse driver é instalado e carregado sem nem mesmo perguntar ou notificar o usuário. Esteja você configurando a impressora para funcionar sem fio ou por meio de um cabo USB, este driver é carregado. Além disso, ele será carregado pelo Windows a cada inicialização:

Isso torna o driver um candidato perfeito para o destino, pois ele sempre será carregado na máquina, mesmo se não houver uma impressora conectada.

A função vulnerável dentro do driver aceita dados enviados do Modo de Usuário via IOCTL (Controle de Entrada / Saída) sem validar o parâmetro de tamanho:

A função vulnerável dentro do driver

Esta função copia uma string da entrada do usuário usando strncpyum parâmetro de tamanho que é controlado pelo usuário. Essencialmente, isso permite que os invasores invadam o buffer usado pelo driver.

Uma coisa interessante que notei enquanto investigava esse driver é esta cadeia peculiar codificado: "This String is from Device Driver@@@@ ".

A string codificada no driver vulnerável

Parece que a HP não desenvolveu este driver, mas o copiou de um projeto em Exemplos de drivers do Windows da Microsoft que tem funcionalidade quase idêntica; felizmente, o projeto de amostra do MS não contém a vulnerabilidade.


Impacto

Uma vulnerabilidade de driver de kernel explorável pode levar um usuário sem privilégios a uma conta SYSTEM e executar código no modo kernel (já que o driver vulnerável está disponível localmente para qualquer pessoa). Entre os abusos óbvios de tais vulnerabilidades está o fato de que elas podem ser usadas para contornar produtos de segurança.

Explorar com êxito uma vulnerabilidade de driver pode permitir que invasores instalem programas, exibam, alterem, criptografem ou excluam dados ou criem novas contas com direitos totais de usuário. Armar esta vulnerabilidade pode exigir o encadeamento de outros bugs, pois não encontramos uma maneira de armaizá-la por si só devido ao tempo investido.


Sugestões
De um modo geral, é altamente recomendável que, para reduzir a superfície de ataque fornecida por drivers de dispositivo com manipuladores IOCTLs expostos, os desenvolvedores devem aplicar ACLs fortes ao criar objetos de dispositivo do kernel, verificar a entrada do usuário e não expor uma interface genérica às operações do modo kernel.


Remediação
Essa vulnerabilidade e suas soluções são descritas no Comunicado de segurança HP HPSBPI03724 e no Mini-boletim XRX21K de comunicado da Xerox . Recomendamos aos clientes HP / Samsung / Xerox, tanto empresas quanto consumidores, que apliquem o patch o mais rápido possível.

Para atenuar esse problema, os usuários devem usar este link, procurar o modelo da impressora e fazer o download do arquivo de patch conforme mostrado na imagem:

Algumas máquinas com Windows podem já ter este driver, mesmo sem executar um arquivo de instalação dedicado, uma vez que o driver vem com o Microsoft Windows via Windows Update:

Nota: Nem todos os produtos afetados foram listados inicialmente na página de aviso. Inicialmente, conduzimos um pequeno teste de amostra e encontramos outros produtos vulneráveis, portanto, recomendamos uma verificação adicional.

Conclusão

Essa vulnerabilidade de alta gravidade, que está presente nos softwares de impressora HP, Samsung e Xerox desde 2005, afeta milhões de dispositivos e provavelmente milhões de usuários em todo o mundo. Semelhante às vulnerabilidades anteriores que divulgamos, que permaneceram ocultas por 12 anos ( 1 , 2 ), o impacto que isso pode ter sobre os usuários e empresas que não conseguem corrigir é de longo alcance e significativo.

Embora não tenhamos visto nenhum indicador de que essa vulnerabilidade tenha sido explorada livremente até agora, com milhões de modelos de impressora atualmente vulneráveis, é inevitável que, se os invasores usarem essa vulnerabilidade como arma, eles procurarão aqueles que não tomaram a ação apropriada .

Gostaríamos de agradecer à HP por sua abordagem à nossa divulgação e por remediar as vulnerabilidades rapidamente.

Fonte: SentinelLABS