{# #} {# #}
SentinelOne detectó una nueva vulnerabilidad en las impresoras y, en este caso, este bug tiene nada menos que 16 años. Este fallo afecta a los controladores de impresoras HP, Xerox y Samsung, y permite a un atacante obtener privilegios de administrador en los sistemas que estén usando el software vulnerable.
Desde 2005, HP, Samsung y Xerox han lanzado millones de impresoras en todo el mundo con el controlador vulnerable.
Los hallazgos de SentinelLabs se comunicaron de forma proactiva a HP el 18 de febrero de 2021 y se registran como CVE-2021-3438, marcado con la puntuación CVSS 8.8. HP publicó una actualización de seguridad el 19 de mayo para sus clientes con el fin de solucionar esta vulnerabilidad.
Muchos de estos controladores vienen precargados en los dispositivos o se eliminan silenciosamente al instalar algún paquete de software legítimo inocuo y su presencia es totalmente desconocida para los usuarios. Estos controladores OEM suelen tener décadas de antigüedad y se codifican sin preocuparse por su posible impacto en la integridad general de esos sistemas.
Descubrimiento de una vulnerabilidad en el controlador de la impresora HP
Hace varios meses, mientras el equipo estaba probando e instalando una impresora HP se encontró con un antiguo controlador de impresora del año 2005 llamado SSPORT.SYS gracias a una alerta de Process Hacker una vez más.
La vulnerabilidad identificada como CVE-2021-3438 existe desde 2005 y afecta cientos de millones de dispositivos y usuarios en todo el mundo. Se trata de un fallo de desbordamiento de búfer en el driver SSPORT.SYS de modelos específicos de impresoras, que puede llevar a una escalada local de privilegios de usuario.
Según los investigadores, el controlador o driver problemático, se instala automáticamente con el software de la impresora y será cargado por Windows tras cada reinicio del sistema. Esto permite que el bug pueda ser explotado cuando la impresora ni siquiera está conectada al ordenador.
Si la vulnerabilidad del controlador es explotada con éxito, podría permitir a los atacantes instalar programas, ver, cambiar, cifrar o eliminar datos, o crear nuevas cuentas con privilegios elevados de usuario.
Este hallazgo representa una vulnerabilidad de alta gravedad en el software de los controladores de las impresoras de HP, Xerox y Samsung que ha permanecido sin revelar durante 16 años. Esta vulnerabilidad afecta a una lista muy larga de más de 380 modelos diferentes de impresoras HP y Samsung, así como a al menos una docena de productos diferentes de Xerox.
Así, en efecto, este controlador se instala y se carga sin siquiera preguntar o notificar al usuario. Tanto si se configura la impresora para que funcione de forma inalámbrica como a través de un cable USB, este controlador se carga. Además, será cargado por Windows en cada arranque.
Esto hace que el controlador sea un candidato perfecto para atacar, ya que siempre estará cargado en la máquina aunque no haya ninguna impresora conectada.
La función vulnerable dentro del controlador acepta los datos enviados desde el modo de usuario a través de IOCTL (control de entrada/salida) sin validar el parámetro de tamaño.
Impacto
Una vulnerabilidad explotable del controlador del kernel puede llevar a un usuario sin privilegios a una cuenta de SYSTEM y ejecutar código en modo kernel (ya que el controlador vulnerable está disponible localmente para cualquiera). Entre los abusos obvios de este tipo de vulnerabilidades está el hecho de que podrían utilizarse para eludir los productos de seguridad.