Los investigadores de seguridad de Sentinel Labs descubrieron una vulnerabilidad de seguridad en los controladores de Windows para impresoras láser de HP, Samsung y Xerox a principios de 2021. Una brecha CVE-2021-3438 8.8 («alta») ha existido en el CVE durante 16 años. Habría permitido a los atacantes locales expandir los permisos (Escalada de privilegios locales, LPE) y luego tomar el control del sistema.

Según Sentinel Labs, se estima que millones de impresoras se han enviado con el controlador vulnerable desde 2005. Una actualización de seguridad para controladores de impresora desarrollada por HP está disponible desde el 19 de mayo. Los usuarios de Windows que utilizan hardware débil y aún no se han actualizado deben hacerlo rápidamente. Los detalles se dan en la última sección de esta carta.

Escalada de privilegios mediante un desbordamiento de búfer

Actual Entrada de blog de Sentinel Labs Proporciona más detalles sobre CVE-2021-3438. En consecuencia, a principios de este año, mientras configuraba una nueva impresora HP, el equipo se encontró por casualidad con un controlador de impresora de 2005 llamado SSPORT.SYS. Un análisis cuidadoso mostró que el controlador de Windows respectivo se instaló junto con el paquete del controlador de la impresora sin que se le solicite. Esto sucede independientemente de si la impresora está integrada a través de USB o WLAN.

Después de investigar más al conductor, el equipo descubrió una característica de seguridad sensible. Esto acepta datos enviados por el modo de usuario a través de IOCTL (Control de entrada / salida) sin verificar su tamaño (el parámetro «tamaño»). Un atacante podría utilizar esta vulnerabilidad para desencadenar un desbordamiento del búfer en el controlador del modo kernel y, por lo tanto, obtener privilegios de la cuenta del sistema. Según el investigador, el hecho de que el controlador se cargue cada vez que se inicia Windows, incluso si falta la impresora, lo convierte en un objetivo ideal.

Hay controladores de impresora actualizados disponibles

Sus descubridores informaron la vulnerabilidad a Hewlett Packard (HP), el fabricante responsable del desarrollo de controladores, el 18 de febrero de 2021. El 19 de mayo de 2021, la compañía publicó una actualización de seguridad con una solución para la vulnerabilidad del controlador de impresora de Windows respectivo.

Consejos de seguridad de HPs zu CVE-2021-3438 Incluye más información de brechas, nombres de modelos de impresoras afectadas (solo impresoras láser), así como enlaces de descarga para el controlador de impresora de Windows parcheado. El aviso se actualizó nuevamente hace dos días. Xerox tiene su propio mini folleto Junto con referencias de descarga específicas del dispositivo.

El aviso de seguridad establece que los usuarios de impresoras HP, Xerox y Samsung en dominios corporativos y personales deben instalar la actualización ofrecida lo antes posible. También debe tenerse en cuenta que el certificado del controlador anterior aún no ha sido revocado. Por lo tanto, es probable que el controlador débil continúe utilizándose en ataques BYOVD (Traiga su propio controlador vulnerable).

Windows plagado de pesadillas de impresoras

Los usuarios y administradores de Windows están experimentando vulnerabilidades asociadas con los servicios o controladores de la impresora. Si bien la vulnerabilidad crítica de PrintNightmare se cerró a principios de julio mediante un parche de emergencia, hasta ahora solo hay una solución para otra vulnerabilidad de la impresora (CVE-2021-34481), sobre la que Microsoft solo advirtió la semana pasada:

(OVNI)