Au apărut detalii despre o vulnerabilitate extrem de periculoasă care afectează un driver utilizat în imprimantele HP, Xerox și Samsung, care a rămas nedetectat din 2005.
Pista K CVE-2021-3438 (Scorul CVSS: 8,8), Problema este legată de o depășire a tamponului din pachetul de instalare a driverului de imprimare numit „SSPORT.SYS”, care poate permite privilegiul de la distanță și executarea arbitrară a codului. Sute de milioane de imprimante au fost lansate în întreaga lume până acum, cu driverul slab în cauză.
Cu toate acestea, nu există dovezi că defectul a fost abuzat în atacurile din lumea reală.
„Potențialul depășirii bufferului în drivere pentru unele produse HP LaserJet și imprimante Samsung poate crește privilegiul”, potrivit unui consultant publicat în mai.
HP a fost informat despre această problemă de cercetătorii de informații despre amenințări de la SentinelLabs la 18 februarie 2021 și ulterior Tratamente Acesta a fost publicat Pentru imprimantele afectate începând cu 19 mai 2021.
Mai exact, problema depinde de faptul că driverul de imprimantă nu dezinfectează volumul de intrare de utilizator, ceea ce ar putea permite unui utilizator neprivilegiat să escaladeze privilegiile și să ruleze codul rău intenționat în modul kernel pe sistemele cu un driver buggy instalat. chiar acum
Funcția slabă din interiorul șoferului acceptă datele trimise din modul utilizator prin IOCTL (Control I / O) fără a verifica parametrul de mărime SentinelOne de Assaf Amir El a spus Într-un raport comun cu The Hacker News. Această funcție copiază un șir de date de utilizator folosind „strncpyCu un parametru de volum controlat de utilizator. Acest lucru permite în mod esențial atacatorilor să ocolească buffer-ul folosit de driver. „
Interesant este faptul că HP pare să fi copiat funcțiile driverului dintr-un fișier Eșantion de driver Windows aproape identic publicat de Microsoft, deși modelul proiectului în sine nu conține vulnerabilitatea.
Nu este prima dată când sunt descoperite vulnerabilități în driverele de software învechite. La începutul lunii mai, SentinelOne a dezvăluit detalii despre mai multe vulnerabilități critice ale escaladării de privilegii în driverul de actualizare firmware Dell numit „dbutil_2_3.syscare nu a fost dezvăluit de mai bine de 12 ani.
„Iubitor tipic de twitter. Muzicholic pe tot parcursul vieții. Fanatic al culturii pop. Prieten al animalelor de pretutindeni. Evanghelist avid de bere. Jucător certificat.”